Rapporto
2014
sulla sicurezza ICT
in Italia
Indice
Prefazione di Gigi Tagliapietra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introduzione al rapporto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
- Analisi dei principali attacchi noti a livello internazionale . . . . . . . . . . . . . . . . . . . . . 10
- Analisi della situazione italiana in materia di cyber-crime e incidenti informatici . . . 25
- Analisi FASTWEB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
- BIBLIOGRAFIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Mercato italiano della sicurezza ICT e Mercato del lavoro . . . . . . . . . . . . . . . . . . 55
FOCUS ON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
- Smartphone, Tablet e Social Networks in Azienda . . . . . . . . . . . . . . . . . . . . . . . . . . 72
- La strategia europea per la cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
- Lo stato della digital forensics in Italia: accademia, Forze dell’Ordine,
magistratura e avvocatura, esperti e aziende . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
- I controlli interni sui processi ICT in ambito aziendale . . . . . . . . . . . . . . . . . . . . . . 88
- Security By Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
- La Security vista dal Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
- Formazione e consapevolezza, strumenti indispensabili
per la Sicurezza delle Informazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Gli autori del Rapporto Clusit 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Ringraziamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Descrizione CLUSIT e Security Summit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 1
Copyright © 2014 CLUSIT
Tutti i diritti dell’Opera sono riservati agli Autori e al Clusit.
È vietata la riproduzione anche parziale di quanto pubblicato
senza la preventiva autorizzazione scritta del CLUSIT.
Via Enrico Tazzoli,11 - 20154 Milano
Prefazione
Il rapporto CLUSIT che vi accingete a leggere è il frutto di un intenso impegno dei soci e
delle aziende che hanno collaborato dando la loro disponibilità con dati, commenti e analisi:
oltre 100 esperti e 500 aziende hanno lavorato intensamente per fare in modo che questo
documento non fosse una elencazione di lamenti o di «bisognerebbe», ma uno strumento
di lavoro concreto e realistico per chi si muove professionalmente nel campo della sicurezza
delle informazioni.
L’anno appena concluso è stato indubbiamente l’anno del «Datagate», lo scandalo internazionale in cui il grande pubblico ha avuto evidenza del fatto che la sicurezza informatica
non sia più solo uno scontro tra «buoni» e «cattivi» ma sia un fattore strategico di portata
planetaria ed è anche a questo tema che è dedicata l’apertura del capitolo relativo al Cyber
Crime che troverete nel rapporto.
I governi si stanno muovendo decisamente per rendere più sicure le infrastrutture dei propri paesi ma sappiamo bene che, data la complessità della rete, la sua capillarità, la sua
dinamica, nulla sarà efficace senza una piena consapevolezza di tutti che porti a comportamenti responsabili.
Per questo motivo il rapporto CLUSIT costituisce uno strumento prezioso per i professionisti ma anche per le imprese, per i giornalisti, per gli amministratori pubblici, per i semplici cittadini, per tutti coloro che hanno compreso che la sicurezza dipende dalle azioni di
ciascuno di noi.
I dati di mercato che troverete sono a questo proposito incoraggianti, nonostante le difficoltà della congiuntura economica il settore vede un incremento delle risorse messe a disposizione della sicurezza e soprattutto nelle medie aziende che rappresentano l’asse strategico
primario della nostra economia.
Infine nei «focus on» troverete gli approfondimenti e i commenti sui temi cruciali all’orizzonte: dai tablet ai social networks, dalle questioni del management della sicurezza a quelle della formazione, temi ai quali abbiamo già rivolto l’attenzione nei precedenti rapporti
CLUSIT ma che per la loro straordinaria dinamica ed evoluzione rappresentano scenari
completamente nuovi.
2.000 copie cartacee, oltre 50.000 copie in elettronico scaricate dal sito CLUSIT sono la
prova della funzione pratica che svolge il rapporto e nell’incoraggiarvi a leggerlo con attenzione, vi invitiamo a diffonderlo, a parlarne, a farlo conoscere perchè ciascuno, nel proprio
ambito, faccia la sua parte per rendere la rete sempre più sicura.
Buona lettura
Gigi Tagliapietra
Presidente CLUSIT
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 3
Introduzione al rapporto
Il Rapporto 2014 inizia con una panoramica degli eventi di cyber-crime e incidenti informatici più significativi degli ultimi dodici mesi. Si tratta di un quadro estremamente aggiornato ed esaustivo della situazione globale, con particolare attenzione alla situazione italiana.
Abbiamo classificato ed analizzato 1.152 attacchi noti del 2013, suddivisi per tipologia di
attaccanti e di vittime e per tipologia di tecniche d’attacco. A questa analisi si è aggiunto
quest’anno un nuovo formidabile strumento di rilevazione. Infatti, per la prima volta in
Italia, abbiamo avuto a disposizione anche i dati relativi agli incidenti rilevati, aggregati in
forma anonima e classificati dal Security Operations Center di FASTWEB, che ha gentilmente acconsentito a condividerli con Clusit.
Il Rapporto contiene anche i risultati di una survey che ha coinvolto ben 438 aziende e
che ci ha consentito di analizzare le tendenze del mercato italiano dell’ICT Security, individuando le aree in cui si stanno orientando gli investimenti di aziende e Pubbliche Amministrazioni. Riguardo il mercato del lavoro, lo studio ha evidenziato quali sono le figure
professionali più richieste, con l’intento di facilitare le scelte di studenti e professionisti.
Si forniscono inoltre importanti approfondimenti su una quantità di temi caldi: Smartphone, Tablet e Social Networks in Azienda; La strategia europea per la cybersecurity; Lo stato
della digital forensics in Italia; La sicurezza delle informazioni in azienda ed i controlli interni; Security By Design; La Security vista dal Management; Formazione e Consapevolezza,
strumenti indispensabili per la Sicurezza delle Informazioni.
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 5
Panoramica degli eventi di cyber-crime e incidenti
informatici più significativi del 2013 e tendenze per
il 2014
Anche in questa edizione il Rapporto CLUSIT inizia con un’attenta e dettagliata analisi
degli eventi ed incidenti informatici più significativi degli ultimi dodici mesi.
A questa analisi si è aggiunto un nuovo formidabile strumento di rilevazione. Quest’anno
(per la prima volta in Italia) abbiamo a disposizione anche i dati relativi agli incidenti rilevati
(di qualsiasi dimensione ed impatto), aggregati in forma anonima e classificati dal Security
Operations Center di FASTWEB, che ha gentilmente acconsentito a condividerli con Clusit, realizzando per il Rapporto 2014 un’analisi molto interessante, presentata nella seconda
parte di questo capitolo.
Ringraziamo sentitamente FASTWEB per la collaborazione e confidiamo che in futuro anche altri operatori di telecomunicazioni vorranno seguirne l’esempio, il che costituirebbe
un significativo servizio non solo per gli addetti ai lavori, ma per la sicurezza della rete
nazionale.
Prima di analizzare quanto avvenuto nel 2013 e nei primi due mesi del 2014 a livello globale
ed italiano, quest’anno vogliamo partire da quattro fatti di cronaca1 solo apparentemente
scorrelati ed a nostro avviso particolarmente significativi, per utilizzarli come chiave di lettura utile a comprendere come la situazione si stia evolvendo rapidamente in tema di Cyber
Security.
Da un lato, la recente proposta da parte del Cancelliere Merkel (rivolta principalmente alla
Francia, ma necessariamente estesa a tutti i partner europei della Germania) di costituire
una “Internet europea”2, alla luce delle rivelazioni da parte del “whistleblower”3 Edward
Snowden in merito alle attività di cyber espionage e sorveglianza di massa che sarebbero condotte dagli alleati anglo-americani (anche) ai danni di governi e cittadini europei.
Dall’altro, la recente pubblicazione negli USA di un framework nazionale per la cyber security delle infrastrutture critiche4 (che inevitabilmente nel tempo, data l’ampiezza della
definizione americana di infrastruttura critica, sarà estesa anche ad altri generi di imprese,
oltre che alle istituzioni nazionali e federali), realizzato su diretta indicazione (Executive
Order) del Presidente Obama5. Illuminanti le prime parole del testo dell’ordine presidenziale: “Repeated cyber intrusions into critical infrastructure demonstrate the need for improved
cybersecurity. The cyber threat to critical infrastructure continues to grow and represents one of
1
Scritto nel Febbraio 2014
2http://www.repubblica.it/tecnologia/2014/02/15/news/merkel_a_hollande_costruire_una_rete_web_indipendente_dagli_usa-
78679542
http://it.wikipedia.org/wiki/Gola_profonda_%28informatore%29
4 http://www.whitehouse.gov/the-press-office/2014/02/12/launch-cybersecurity-framework
5 http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity
3
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 7
Rapporto 2014 sulla Sicurezza ICT in Italia
the most serious national security challenges we must confront”6.
Anche in Italia abbiamo assistito ad un evento significativo: a seguito dell’emanazione della “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” del gennaio 2013, il 18 dicembre 2013 il Governo Letta ha approvato il “Piano
nazionale per la protezione cibernetica e la sicurezza informatica”, ovvero la nostra Cyber Strategy nazionale7 (pubblicata sulla Gazzetta Ufficiale n.41 del 19 febbraio 2014).
Infine, sempre in questi giorni (7 febbraio), il Governo francese ha annunciato di voler
investire un miliardo di euro nei prossimi 5 anni per la realizzazione di un ambizioso programma nazionale di cyber security8 per “elevare il proprio livello di sicurezza a quello di
altri partner NATO”. Interessante il dato che traspare dalle parole del Ministro della Difesa
francese sulla quantità di attacchi subiti nel 2013: “Most of the money will go toward shoring
up security at the Defence Ministry and its strategic partners, which were targeted by some 800
cyber attacks in 2013 amid unprecedented belt-tightening for the military”9.
Da questi recenti fatti si evince che il crescente impatto socio-economico e geopolitico derivante dalla attuale patologica situazione di diffusa insicurezza informatica, già ampiamente sottolineato negli ultimi due Rapporti sui Rischi Globali del World Economic Forum10,
(oltre che, nel suo piccolo, anche da CLUSIT nei suoi precedenti Rapporti), è ormai tale
da essere finalmente giunto sui tavoli (e nelle agende) dei principali attori della politica
internazionale e nazionale, e non solo per ragioni di facciata, o come mero argomento di
moda, come era fino a poco fa.
Pertanto, pur consci delle inevitabili resistenze che si dovranno fronteggiare, quest’anno
osserviamo con soddisfazione le prime conseguenze di un fenomeno importante: la grande
politica ha compreso l’importanza della Cyber Security e delle gravi implicazioni derivanti
dalla sua diffusa carenza (se non totale mancanza) in tutti i contesti del mondo iper-connesso di oggi, il quale basa ormai la propria stessa esistenza sul buon funzionamento delle
proprie infrastrutture ICT (critiche e non).
Tutti questi segnali, tra loro anche contraddittori (per esempio l’ipotesi di “Internet europea”, volta a limitare l’impatto in Europa delle attività straniere di intelligence, ed in particolare americane, cozza sia logicamente che praticamente con i processi in atto in ambito
NATO per il rafforzamento e l’integrazione della Cyber Security su base transatlantica,
ed appare per molte ragioni di difficile realizzazione), indicano che è finalmente giunto il
momento del fare, e che non è più possibile rimandare ulteriormente la concreta attuazione
di efficaci politiche di sicurezza informatica, sia da parte del pubblico che dei privati, senza
sottostare a rischi potenzialmente gravissimi.
6
“Ripetute intrusioni informatiche nelle infrastrutture critiche dimostrano la necessità di una maggiore cyber security. La minaccia cyber
alle infrastrutture critiche continua ad aumentare e rappresenta una delle più gravi sfide per la sicurezza nazionale che ci troviamo ad
affrontare”.
7 http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/piano-nazionale-cyber.pdf
8 http://www.reuters.com/article/2014/02/07/france-cyberdefence-idUSL5N0LC21G20140207
9 “La maggior parte del denaro sarà dedicato a migliorare la sicurezza del Ministero della Difesa e dei suoi partner strategici, che sono
stati oggetto di 800 cyber attacchi nel 2013, in un contesto di importanti riduzioni di budget per la difesa”.
10 http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf
8
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Il cambiamento di prospettiva è tale che nella prefazione del nostro Piano nazionale per la
protezione cibernetica e la sicurezza informatica si legge: “Con questo ulteriore documento
l’Italia si dota di una strategia organica, alla cui attuazione sono chiamati a concorrere non
solo gli attori, pubblici e privati, richiamati nel Quadro Strategico Nazionale ma anche tutti
coloro che, su base quotidiana, fanno uso delle moderne tecnologie informatiche, a partire dal
singolo cittadino”.
La Cyber Security, come auspichiamo da tempo11, è finalmente diventata anche nella
percezione dei principali decisori nazionali un problema di “salute pubblica”, e questo fenomeno rappresenta un “salto quantico”, che va assolutamente apprezzato, sostenuto e
valorizzato.
Ora si tratta di vigilare affinché principi ed iniziative di tale portata non rimangano lettera
morta, e di implementare celermente le opportune misure (educative, normative, organizzative e tecnologiche), stanziando le risorse necessarie, in una corsa contro il tempo che
allo stato attuale vede i difensori in una posizione di crescente svantaggio, dato che, come
vedremo nei prossimi capitoli, il fronte delle minacce è sempre più esteso, agguerrito, complesso da contrastare ed efficace nel perseguire le proprie finalità dannose.
Recuperare il tempo perduto negli ultimi 4-5 anni è oggi la principale priorità, a tutti i livelli,
per invertire le tendenze in atto, che sono certamente molto preoccupanti - la speranza, alla
luce delle recenti evoluzioni, è che finalmente inizino ad esserci le condizioni per perseguire questo obiettivo fondamentale.
Auspicando che questo Rapporto Clusit sulla Sicurezza ICT in Italia, giunto nel 2014 alla
sua quinta12 edizione, possa dare anche quest’anno un piccolo contributo nell’affrontare le
difficili sfide che ci attendono, auguriamo a tutti una buona lettura!
11
12
©
http://www.tomshw.it/cont/articolo/le-tenaglie-di-efesto-stato-della-sicurezza-informatica-in-italia/44483/1.html
considerando gli aggiornamenti di fine anno pubblicati nel 2012 e nel 2013
Clusit 2014 9
Rapporto 2014 sulla Sicurezza ICT in Italia
Analisi dei principali attacchi noti a livello internazionale
Questo studio si riferisce alla classificazione ed all’analisi di un campione di oltre 2.800
incidenti noti avvenuti nel mondo ed in Italia negli ultimi 36 mesi (dal gennaio 2011 al
dicembre 2013)13, selezionati tra quelli che hanno avuto un impatto particolarmente significativo per le vittime in termini di perdite economiche, di reputazione, o di diffusione di
dati sensibili (personali e non).
La sintesi qui presentata è il risultato di complesse attività di correlazione e di verifiche
incrociate tramite attività mirate di OSInt14 oltre che, non ultimo, del confronto con i dati
che emergono dai report di molti Vendor (tra i quali ricordiamo Cisco, IBM, Kaspersky,
McAfee, Symantec, Trend Micro e Websense).
Va tenuto presente che il campione, per quanto abbastanza rappresentativo della realtà, non
può essere considerato esaustivo in quanto presenta delle (inevitabili) distorsioni.
Ciò è dovuto da un lato al fatto che alcuni settori economici sono particolarmente efficaci
nel minimizzare la diffusione pubblica di informazioni relative agli attacchi subiti, e risultano pertanto sotto-rappresentati, e dall’altro che alcuni tipi di attacchi (i più dannosi, per
esempio quelli legati allo spionaggio industriale, o ad attività di Information Warfare) sono
compiuti nell’arco di periodi piuttosto lunghi, in modalità estremamente cauta, e di conseguenza vengono alla luce ad anni di distanza15.
Va dunque tenuto presente che i dati di seguito sintetizzati costituiscono solo la “punta
dell’iceberg” rispetto al totale degli attacchi gravi compiuti in Italia e nel mondo nel corso
dell’anno passato.
Dei 2.804 attacchi gravi di pubblico dominio che costituiscono il nostro campione, nel
2013 ne abbiamo classificati ed analizzati 1.152 (il 41% del totale); di questi solo 35 si
riferiscono a bersagli italiani (un mero 3% del totale globale, numero che sicuramente non
è rappresentativo della realtà dei fatti).
Anticipando una riflessione che svolgeremo più avanti, da questi numeri appare evidente
come sia assolutamente attuale ed urgente implementare nel nostro Paese logiche di Cyber
Intelligence Sharing e di Breach Disclosure, come indicato anche ai punti 5.3.d e 9 del
nostro Piano nazionale per la protezione cibernetica e la sicurezza informatica.
2013: l’insicurezza informatica è il “new normal”
Prendendo come riferimento il 2011, primo anno della nostra analisi, il numero di attacchi
gravi di pubblico dominio che abbiamo analizzato è cresciuto nel 2013 del 245%. In altri
termini, mentre nel 2011 abbiamo raccolto e classificato una media di 46 attacchi gravi al
mese, nel 2013 (a parità di criteri di classificazione) la media mensile è stata di 96, ovvero
13
I dati di dettaglio ricavati da questa analisi, qui non riportati per ragioni di spazio, sono disponibili tramite CLUSIT per chiunque ne
faccia richiesta.
14 OSINT – Open Source Intelligence – Analisi di fonti aperte
15 https://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions
10
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
oltre 3 al giorno, con un picco di 123 attacchi registrati nel mese di gennaio.
Nel corso dell’anno passato, come abbiamo già anticipato nella seconda edizione del Rapporto Clusit 201316 pubblicata lo scorso ottobre, mentre il numero complessivo degli attacchi informatici gravi di cui abbiamo avuto notizia è rimasto sostanzialmente invariato
rispetto al 2012, la loro gravità è aumentata in modo significativo, sia in termini di quantità
e di valore economico dei dati sottratti, sia in termini di ampiezza delle conseguenze nel
caso di sabotaggi ed attacchi di tipo “denial of service”.
Questo perché sono aumentate, in parallelo, sia la sofisticazione e la determinazione degli
attaccanti sia, di conseguenza, la severità dei danni subiti dalle vittime, ed i dati dei primi
due mesi del 2014 confermano il persistere di questa situazione.
A titolo esemplificativo della scala crescente dei problemi che dobbiamo affrontare, una recente ricerca condotta da RBS in collaborazione con DatalossDB ha mostrato che nel 2013
in 2.164 diversi incidenti documentati sono stati sottratti 882 milioni di record personali17
(una media di oltre 400.000 record per incidente), con punte di oltre 150 milioni di profili
sottratti in un singolo attacco18 (il peggiore di sempre, ad oggi). Dei primi 10 incidenti avvenuti negli ultimi quattro anni in materia di sottrazione di account o profili personali, quattro
sono avvenuti nel 2013.
Allo stesso modo, nel corso del 2013 gli attacchi DDoS volumetrici (basati cioè sulla quantità di traffico generato per disabilitare il bersaglio) superiori a 10 Gbps sono cresciuti,
rispetto all’anno precedente, del 41,6%, con picchi di oltre 300 Gbps19, mentre nei primi
due mesi del 2014 sono già stati osservati attacchi superiori ai 400 Gbps20.
Questo in un contesto nel quale la spesa globale nel 2013 per prodotti e servizi di Cyber
Security è stata stimata da Gartner prossima a 70 miliardi di dollari (+16% rispetto al 2012),
contro un totale di perdite dirette ed indirette causate dal solo Cyber Crime che il Ponemon
Institute stima in quasi 500 miliardi di dollari21 (+ 26% rispetto al 2012).
Allo stato attuale dobbiamo dunque prendere atto del fatto che l’investimento in contromisure cresce meno rapidamente di quanto crescano i danni provocati dagli attaccanti, oppure, detto diversamente, che l’efficacia degli attaccanti è maggiore di quella dei difensori, in
termini di ROI
La situazione globale in cifre
Per dare un riferimento numerico relativamente al campione di 2.804 incidenti noti che
Clusit ha classificato come particolarmente gravi ed analizzato, osserviamo il grafico relativo
agli ultimi 36 mesi, ordinato per semestre:
16
http://www.clusit.it/rapportoclusit/
https://www.riskbasedsecurity.com/2014/02/2013-data-breach-quickview/
18 http://nakedsecurity.sophos.com/2013/10/04/adobe-owns-up-to-getting-pwned-login-and-credit-card-data-probably-stolen-all-passwords-reset/
19 http://www.darkreading.com/vulnerability/average-ddos-attack-size-growing-dramati/240159399
20 http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack
21 The Ponemon Institute, “ The 2013 Cost of Cyber Crime Study”
17
©
Clusit 2014 11
Rapporto 2014 sulla Sicurezza ICT in Italia
Il picco di attacchi significativi divenuti di dominio pubblico nel primo semestre 2012 è dovuto sostanzialmente alla fase di maggiore intensità delle azioni dimostrative su larga scala
realizzate da parte degli Hacktivist della galassia Anonymous (che sono poi stati duramente
colpiti dalle Forze dell’Ordine nella seconda metà del 2012, riducendo di molto le attività).
Anche considerando che all’inizio del 2011 gli attacchi noti considerati gravi in base ai
nostri criteri di classificazione erano molti meno rispetto agli anni successivi, la linea di
tendenza degli ultimi 36 mesi è inequivocabile. Gli ultimi due semestri mostrano che siamo entrati in una fase di stabilizzazione del fenomeno, quantomeno dal punto di vista del
numero di attacchi.
12
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
I fenomeni più interessanti emersi nel 2013
Fatto salvo quanto già descritto nel Rapporto CLUSIT 2013 a seguito dell’analisi degli
attacchi del 2012, relativamente al fatto che tutti sono ormai diventati bersagli, che le
protezioni tradizionali sono sempre meno efficaci e che tutte le piattaforme sono ormai
nel mirino dei malintenzionati, i nuovi fenomeni più interessanti del 2013, che vediamo
confermati anche in questi primi mesi del 2014, possono essere sintetizzati come segue:
• In tutto il mondo si moltiplicano gruppi di attaccanti con capacità tecniche sofisticate.
Mentre fino a poco tempo fa la maggior parte degli hackers erano occidentali, negli
ultimi anni (e nel 2013 in particolare) si è assistito ad una moltiplicazione esponenziale
di capacità, anche molto avanzate, tra persone originarie di paesi in via di sviluppo e del
terzo mondo. Anche senza considerare l’addestramento di un crescente numero di cyber
warriors, derivante dallo sviluppo di capacità in ambito Information Warfare che ormai
sono, con differenti livelli di capacità, in via di adozione da parte di decine di nazioni,
questa inevitabile diffusione di know-how sofisticato tra hacktivist e cyber criminali non
occidentali ha implicazioni profonde, sia dal punto di vista strettamente numerico, data
la quantità di popolazione che si sta affacciando su Internet in quei paesi, sia perché la
razionalità di questi soggetti è differente da quella alla quale siamo abituati, il che implica che sono disposti a correre rischi maggiori ed a non curarsi dell’impatto delle proprie
azioni sui bersagli (rispetto ai loro omologhi di cultura occidentale, per esempio dell’est
europeo, che hanno un approccio più cauto e di basso profilo). Questo cambiamento
nella razionalità prevalente degli attaccanti va sicuramente considerato nel predisporre
le prossime iniziative di difesa, sia per il pubblico che per i privati.
• Cyber Crime ed Hacktivism diventano concetti sempre più sfumati.
A differenza del recente passato, quando questo fenomeno rappresentava un’eccezione,
dal 2013 sempre più spesso si assiste ad una commistione tra finalità cyber criminali
e forme di hacktivism. I due ambiti, originariamente distinti per background, finalità
e modalità di azione, sempre più spesso trovano conveniente allearsi per raggiungere i
propri obiettivi. Eclatante il caso del complesso attacco alle banche ed alle televisioni
sud coreane (operation “Dark Seoul”)22, nel quale l’inedito e premeditato coordinamento tra hacktivist, cyber criminali e cyber spie è risultato estremamente efficace. Inoltre
le frange di attivisti digitali più oltranzisti (in particolare di matrice nazionalista, come la
S.E.A., Syrian Electronic Army23) iniziano ad utilizzare le modalità operative del cyber
crime per auto-finanziarsi. Tutto ciò, generando ulteriori ambiguità nelle “firme” degli
attacchi, rende ancora più complesse le attività di Cyber Intelligence e di reazione da
parte dei difensori.
22
23
©
http://www.nytimes.com/2013/03/21/world/asia/south-korea-computer-network-crashes.html
http://en.wikipedia.org/wiki/Syrian_Electronic_Army
Clusit 2014 13
Rapporto 2014 sulla Sicurezza ICT in Italia
• Le grandi organizzazioni vengono sempre più spesso colpite tramite i propri fornitori / outsourcer.
Nel 2013 si è assistito all’emergere di una chiara tendenza, per cui gli attaccanti hanno
individuato negli outsourcer l’anello più debole da colpire per raggiungere (tipicamente
sfruttandone le utenze privilegiate e le connessioni VPN) i loro bersagli primari.
Tra gli esempi più eclatanti, in un caso le applicazioni per piattaforme mobile di un noto
network televisivo satellitare sono state infettate con malware, e diffuse su milioni di
smartphone tramite il meccanismo degli aggiornamenti automatici, compromettendo
la software house che le realizza24. Curiosamente il network, mostrando una notevole
incertezza nelle proprie procedure di Crisis Management, dopo aver invitato via Twitter
i propri utenti a disinstallare le proprie app, lo stesso giorno ha fatto clamorosamente
marcia indietro25.
In un altro caso, una nota catena americana della grande distribuzione organizzata è
stata duramente colpita con la sottrazione dei codici di 40 milioni di carte di credito,
rubate infettandone i POS a partire dalla connessione VPN di un fornitore specializzato
nella manutenzione di banchi frigoriferi26.
Questo fenomeno, data la propensione degli attaccanti a minimizzare gli sforzi, è destinato
a crescere in modo esponenziale, dal momento che spesso questi fornitori sono aziende
medio-piccole, con una cultura della sicurezza sensibilmente inferiore a quella dei loro
grandi clienti, pur avendo di frequente accessi poco o per nulla presidiati alle loro reti ed
infrastrutture.
• I Social Network, per la loro natura e diffusione, sono ormai il principale veicolo
di attività malevole.
Ciò che avevamo anticipato nei Rapporti precedenti si è realizzato compiutamente nel
2013: i Social Network, grazie alle loro caratteristiche ed alle modalità “disinvolte” di
interazione tra gli utenti, sono utilizzati dagli attaccanti per massimizzare l’effetto delle
loro campagne di diffusione di spam, di phishing e di social engineering, con la finalità
prevalente di infettare il maggior numero possibile di sistemi, per poterli associare a botnet composte da milioni di macchine27, che poi sono utilizzate per generare BitCoins,
compiere attacchi DDoS, inviare spam, rubare identità28, etc.
Inoltre, dato che i Social Network gestiscono i profili (e gli account) di un numero enorme di utenti, sono utilizzati per attività di “scraping” di credenziali e di dati personali su
scala planetaria29. Questo include anche le principali piattaforme di messaggistica per
smartphone e tablet (che costituiscono la nuova frontiera dei Social Network), spesso
24
25
26
27
28
29
http://www.androidcentral.com/sky-tv-apps-hacked-all-now-removed-play-store
http://www.techradar.com/news/software/applications/sky-s-android-apps-hacked-users-advised-to-uninstall-until-its-safe-1154507
https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
http://threatpost.com/facebook-security-fbi-take-down-butterfly-botnet-arrest-10-121212/77308
http://www.zdnet.com/hacker-database-exposed-thousands-of-stolen-facebook-twitter-google-passwords-found-7000023922/
http://www.businessweek.com/news/2014-01-07/linkedin-sues-unknown-hackers-over-thousands-of-fake-accounts
14
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
afflitte da importanti vulnerabilità: a titolo di esempio, una popolare piattaforma ha consentito la diffusione non autorizzata di 6 milioni di numeri di telefono appartenenti ai
suoi utenti30, mentre un’altra consentiva a chiunque di aggirare la cifratura dei messaggi
scambiati tra gli utenti e di leggerli in chiaro31.
Data la diffusione nell’uso dei Social Network oltre che tra i privati anche tra utenti
di organizzazioni pubbliche e private di ogni dimensione, (spesso in associazione con
strumenti mobile, il che rappresenta un moltiplicatore di rischio), queste minacce incombono costantemente anche sui relativi sistemi informativi e sulle informazioni che
contengono (perfino, ed a maggior ragione, in ambiti molto delicati quali quelli governativi e militari32).
Ma quali sono, in sostanza, le conseguenze pratiche di tutti questi fenomeni?
Classificazione e analisi dei principali incidenti noti a livello globale
Di seguito tre tabelle che rappresentano i criteri di sintesi che abbiamo utilizzato per rendere fruibili i molti dati raccolti. Come l’anno scorso abbiamo segnalato in arancio gli incrementi percentuali che risultano essere superiori alla media, evidenziando così le principali
tendenze in atto, e confrontato i dati del 2013 sia con quelli del 2011 che con quelli del
2012. Queste le consistenze numeriche emerse dalla nostra analisi:
ATTACCANTI
PER TIPOLOGIA
2011
2012
2013
Variazioni
2012 su 2011
Variazioni
2013 su 2012
Variazioni
2013 su 2011
Cybercrime
170
633
609
272,35%
-3,79%
258,24%
Unknown
148
110
0
-25,68%
-100,00%
-100,00%
Hacktivism
114
368
451
222,81%
22,55%
295,61%
Espionage /
Sabotage
23
29
67
26,09%
131,03%
191,30%
Cyber warfare
14
43
25
207,14%
-41,86%
78,57%
TOTALE
469
1.183
1.152
30
http://nakedsecurity.sophos.com/2013/06/27/researchers-facebook-leaks-are-a-lot-leakier-than-facebook-is-letting-on/
http://thehackernews.com/2013/10/vulnerability-in-whatsapp-allows.html
32 http://www.timesofisrael.com/israels-army-of-facebook-addicts-battles-to-keep-its-secrets/
31
©
Clusit 2014 15
Rapporto 2014 sulla Sicurezza ICT in Italia
VITTIME PER
TIPOLOGIA
2011
2012
2013
Variazioni
2012 su 2011
Variazioni
2013 su 2012
Variazioni
2013 su 2011
Institutions:
Gov - Mil LEAs - Intel
153
374
402
144,44%
7,49%
162,75%
Others
97
194
146
100,00%
-24,74%
50,52%
Industry:
Entertainment /
News
76
175
147
130,26%
-16,00%
93,42%
Industry: Online
Services / Cloud
15
136
114
806,67%
-16,18%
660,00%
Institutions:
Research Education
26
104
70
300,00%
-32,69%
169,23%
Industry:
Banking /
Finance
17
59
108
247,06%
83,05%
535,29%
Industry:
Software /
Hardware
Vendor
27
59
46
118,52%
-22,03%
70,37%
Industry: Telco
11
19
19
72,73%
0,00%
72,73%
Gov. Contractors
/ Consulting
18
15
2
-16,67%
-86,67%
-88,89%
Industry:
Security
Industry:
17
14
6
-17,65%
-57,14%
-64,71%
Religion
0
14
7
-
-50,00%
-
Industry: Health
10
11
11
10,00%
0,00%
10,00%
Industry:
Chemical /
Medical
2
9
1
350,00%
-88,89%
-50,00%
Critical
Infrastructures
-
-
37
-
-
-
Industry:
Automotive
-
-
17
-
-
-
Org / ONG
-
-
19
-
-
-
16
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
TECNICHE DI
ATTACCO PER
TIPOLOGIA
2011
2012
2013
Variazioni
2012 su 2011
Variazioni
2013 su 2012
Variazioni
2013 su 2011
SQL Injection
197
435
217
120,81%
-50,11%
10,15%
Unknown
73
294
239
302,74%
-18,71%
227,40%
DDoS
27
165
191
511,11%
15,76%
607,41%
Known
Vulnerabilities /
Misconfig.
107
142
256
32,71%
80,28%
139,25%
Malware
34
61
57
79,41%
-6,56%
67,65%
Account
Cracking
10
41
115
310,00%
180,49%
1050,00%
Phishing / Social
Engineering
10
21
3
110,00%
-85,71%
-70,00%
Multiple
Techniques / APT
6
13
71
116,67%
446,15%
1083,33%
0-day
5
8
3
60,00%
-62,50%
-40,00%
Phone Hacking
0
3
0
-
-
-
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
Distribuzione degli attaccanti
Questo grafico rappresenta la distribuzione percentuale degli attaccanti osservata nel 2013.
Da notare che la distribuzione numerica degli attaccanti non dà informazioni significative
sull’impatto degli attacchi che hanno compiuto. Per esempio le attività di Cyber Espionage,
che risultano essere solo il 6% degli incidenti noti considerati all’interno del nostro campione, hanno causato danni certamente superiori rispetto a quelli causati dagli Hacktivist, che
pure rappresentano ben il 39% degli attaccanti.
©
Clusit 2014 17
Rapporto 2014 sulla Sicurezza ICT in Italia
Da notare come il Cyber Crime superi ormai stabilmente il 50% del totale (dal 36% del
2011 al 54% del 2012, confermato anche nel 2013 con il 53%), mentre l’Hacktivism è in
forte crescita (in particolare quello di origine non-occidentale, fenomeno particolarmente
preoccupante), passando in percentuale dal 24% del 2011 al 31% del 2012 al 39% del 2013.
I casi noti di Cyber Espionage (escluse le vicende legate al c.d. Datagate, che non sono
considerate dalle nostre statistiche) sono cresciuti dal 2% del 2012 al 6% del 2013 (con un
aumento in termini assoluti degli incidenti riferibili a questo genere di motivazioni pari al
131% rispetto al 2012).
Da notare infine l’assenza (per la prima volta nel 2013) della categoria “Unknown”. Gli
attaccanti sconosciuti erano ben il 38% nel 2011, ed ancora il 9% nel 2012.
Questo risultato, senz’altro positivo, è dovuto all’affinamento delle tecniche di OSInt impiegate nella fase di attribuzione degli attacchi, e rappresenta la dimostrazione di come sia
possibile ottenere (pur con i mezzi limitati a nostra disposizione) una buona comprensione
18
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
delle motivazioni e della natura degli attaccanti, elementi fondamentali per poter porre in
essere le contromisure più opportune.
Questi, in valori assoluti, gli attacchi analizzati per il 2013 a livello internazionale ed italiano, rispetto agli anni precedenti:
Distribuzione delle vittime
Per quanto riguarda la distribuzione delle vittime, nel 2012 diminuivano leggermente gli
attacchi verso enti governativi, partiti politici, forze dell’ordine etc (sempre comunque al
primo posto), ma aumentavano quelli contro l’industria dell’informazione e dello spettacolo,
i servizi cloud / web 2.0 / social e le istituzioni di ricerca o scolastiche.
Nel 2013 si assiste ad un leggero aumento di attacchi verso il settore governativo (+7,5%)
e ad un aumento numericamente consistente (+83%) di attacchi verso il settore Banking/
Finance, che passa dal 5% del totale nel 2012 al 9% nel 2013.
©
Clusit 2014 19
Rapporto 2014 sulla Sicurezza ICT in Italia
Appaiono per la prima volta nel campione attacchi noti contro Infrastrutture Critiche (categoria non presente nelle precedenti edizioni del Rapporto), che si posizionano al 3% del
totale (37 attacchi), ed attacchi verso altri due settori, quello Automotive (principalmente
con finalità di spionaggio industriale) e quello delle ONG (principalmente con finalità di
spionaggio politico o di Hacktivism).
L’evoluzione della tipologia delle vittime nel corso dei tre anni considerati si evince dal
grafico sottostante:
Distribuzione delle tecniche di attacco
Per quanto riguarda la classificazione degli attacchi gravi di pubblico dominio in base alle
tecniche utilizzate dagli attaccanti nel 2013 rispetto agli anni precedenti, spiccano l’ulteriore incremento della categoria DDoS, l’aumento di attacchi basati su Account Cracking
e soprattutto della categoria APT (Advanced Persistent Threats) che passa dal 1% del 2012
al 7% del 2013.
Il grafico che segue rappresenta in valori assoluti le tecniche di attacco rilevate globalmente
negli ultimi 3 anni:
20
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
La principale macro-famiglia di tecniche di attacco rilevate l’anno scorso è relativa allo
sfruttamento di vulnerabilità note o di misconfigurazioni dei sistemi bersaglio, che rappresentano circa un quarto dei casi analizzati (22%), con una crescita dell’87% rispetto al 2012.
Va considerata con attenzione la crescita di attacchi complessi realizzati tramite tecniche
miste di tipo APT (Advanced Persistent Threat), che passano dal 1% al 6% del totale.
Si confermano sempre molto utilizzate le tecniche di attacco basate su SQL Injection (erano il 37% nel 2012 e sono ancora il 19% nel 2013) e l’utilizzo di malware (tipicamente in
connessione con attività di phishing o con attacchi realizzati infettando siti web), per quanto complessivamente queste categorie siano in flessione.
In generale, i vettori di attacco più semplici da sfruttare (e più facili da mitigare) ovvero
SQLi, DDoS e Vulnerabilities, nel 2013 rappresentano ancora il 58% del totale, contro il
69% dell’anno precedente.
Questo suggerisce due riflessioni: da un lato i difensori non pongono sufficiente attenzione
all’hardening dei sistemi, non applicano le patch di sicurezza e soprattutto non dispongono
di sistemi di monitoraggio in real-time, in grado di individuare e bloccare questi attacchi
spesso poco sofisticati, dall’altro il numero di vulnerabilità note continua ad aumentare
ogni anno, il che accresce la superficie di attacco dei bersagli e quindi le opportunità per
gli attaccanti.
©
Clusit 2014 21
Rapporto 2014 sulla Sicurezza ICT in Italia
Questa la distribuzione percentuale delle tecniche di attacco emersa dal nostro campione
per il 2013:
La diminuzione percentuale delle categorie SQLi, Malware, e Vulnerabilities rispetto agli
anni precedenti si spiega con l’utilizzo sempre più frequente di tecniche di attacco miste,
che sono ormai spesso utilizzate in combinazione tra loro, al fine di superare le contromisure poste in essere dai difensori.
Rimangono ancora un buon 21% di casi (in leggera diminuzione rispetto al 25% del 2012)
nei quali non è stato possibile individuare con certezza il tipo di tecnica di attacco utilizzata.
Questa mancanza di informazioni pubbliche sui metodi utilizzati dagli attaccanti è da un
lato sintomo della carenza, ancora oggi, di intelligence sharing e di trasparenza da parte delle
vittime (fenomeno che danneggia tutti), e dall’altro sottolinea la complessità raggiunta dalle
tecniche utilizzate dai malintenzionati, che spesso non consente di stabilire con certezza le
modalità effettive di compromissione di un sistema o di un’organizzazione.
Da questo grafico appare comunque evidente come i difensori stiano ponendo rimedio alle
vulnerabilità più banali ancora troppo lentamente, ed allo stesso tempo gli attaccanti stiano
continuamente alzando il livello di complessità e di pericolosità dei loro attacchi, in una
sorta di “corsa agli armamenti” che al momento vede i malintenzionati ancora in vantaggio.
Principali tendenze per il 2014
Dopo aver analizzato i dati del 2013, siamo in grado di esprimere quelle che pensiamo saranno le tendenze per il 2014.
Cloud e Social Network
Sicuramente uno dei fenomeni a cui assisteremo con maggiore frequenza quest’anno sarà
una serie di attacchi ai sistemi Cloud ed ai Social Network. Questi sistemi contengono
22
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
infatti grandi quantità di dati e sono quindi un bersaglio appetibile per i malintenzionati
che, con un attacco solo, possono riuscire a raccogliere grandi quantità di informazioni, e/o
a colpire un grandissimo numero di utenti.
Malware, APT e “0-day”
Nel 2014 osserveremo quasi certamente un crescente numero di Advanced Persistent
Threat e di malware basati su vulnerabilità “zeroday”, cioè malware scritti appositamente
per condurre un determinato attacco e non riconosciuti dai tradizionali antivirus. Questo
fenomeno è dovuto al fatto che, nella corsa agli armamenti che si sta verificando nel cyberspace, un enorme ecosistema criminale lavora senza sosta per mantenere il vantaggio sui
difensori, disponendo di risorse e capacità di alto livello.
La maggiore visibilità di questi attacchi, che in realtà, silenziosamente, vanno avanti da
anni, sarà anche dovuta all’evoluzione delle tecnologie per la rilevazione di queste minacce,
che ci permetteranno di prendere coscienza di un fenomeno che fino ad ora è rimasto per
lo più nascosto.
Crypto-monete
Se la “bolla” delle crypto-monete non imploderà a breve, vedremo sicuramente la percentuale di malware scritta allo scopo di generare queste valute tramite i sistemi informativi
di vittime ignare aumentare ancora, fino a raggiungere la quasi totalità, dato l’altissimo
guadagno per i criminali.
Distributed Denial of Service
Con l’aumentare della banda disponibile, sia a livello domestico che professionale, gli attacchi di tipo DDoS, ormai divenuti attuabili da chiunque, verranno utilizzati massivamente,
oltre che per fini dimostrativi anche per fini criminali e di concorrenza sleale.
Piattaforme Mobile
Il 2013, è stato l’anno in cui si sono venduti più dispositivi mobili (tablet e smartphone) che
computer. Per questo motivo, seguendo il trend, vedremo la percentuale di malware scritta
per colpire questo tipo di sistemi aumentare sensibilmente, indipendentemente dal tipo di
piattaforma (pur con una prevalenza di minacce per la piattaforma Android).
I vari colossi che gestiscono i mercati delle App, come Google ed Apple, fanno del loro
meglio per allontanare la minaccia. Una gran parte degli utenti ha l’abitudine tuttavia di
servirsi di App store non ufficiali, ove le app rilasciate e caricate non subiscono purtroppo
alcun controllo.
I malware per Android crescono, ma i numeri di varianti rimangono ancora lontani da quelli
prodotti per attaccare i PC. I dispositivi mobili sono ancora un terreno non sfruttato a pieno
dai cyber criminali in quanto non pare ci siano ancora strategie semplici per ottenere denaro
dai dispositivi compromessi. La sicurezza messa in campo dalla combinazione di app store
ufficiali e il costante aggiornamento dei sistemi operativi, rende difficile la compromissione
©
Clusit 2014 23
Rapporto 2014 sulla Sicurezza ICT in Italia
delle principali piattaforme. Tuttavia ciò non può essere considerato sufficiente, almeno a
lungo termine e per tale motivo sarà sicuramente necessario adottare ulteriori accorgimenti
di sicurezza, questa è la strada intrapresa anche da alcune aziende, le quali adottano piattaforme MDM (Mobile Device Management), ovvero software sviluppati per la gestione e per
la protezioni dei dati presenti sulle flotte dei dispostivi mobili dei dipendenti.
Trasformazioni nel mercato della Security
L’impressione che si ha al termine del 2013 è che il mercato dei servizi di sicurezza cloud e
cloud-based sarà uno dei punti focali dei prossimi anni.
L’adozione sempre più universale di applicazioni “software as a service” (SaaS) e di servizi
basati su cloud incoraggeranno le aziende ad adottare sistemi di controllo della security in
cloud tra i quali particolare l’e-mail security, i web security services e l’identity and access
management (IAM).
A seguito di una costante evoluzione di tali servizi si potrà assistere anche ad un incremento
dei servizi di security basati su crittografia e token, i tool SIEM (Security Information and
Event Management), dei sistemi di Vulnerability Assessment ed i firewall per le applicazioni basate su Web.
Il modello del Cloud applicato alla Security è oramai una realtà abbastanza matura, che
tenderà sicuramente a consolidarsi nel corso del 2014, e ciò è soprattutto dovuto al consistente numero di vantaggi che queste piattaforme possono fornire, soprattutto per le piccole-medie imprese che altrimenti non potrebbero dotarsi delle soluzioni più avanzate per
ragioni di budget.
24
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Analisi della situazione italiana in materia di cyber-crime e
incidenti informatici
Quest’anno abbiamo individuato, classificato come gravi ed analizzato 35 attacchi di dominio pubblico contro bersagli italiani, che rappresentano un mero 3% del nostro campione
complessivo di 1.152 incidenti del 2013.
Appare piuttosto improbabile che il numero di attacchi gravi nel nostro Paese sia stato così
basso, soprattutto se confrontiamo tale cifra con quelle note per altri paesi occidentali, il
che ci porta a supporre che tale cifra incongrua sia dovuta alla cronica mancanza di informazioni pubbliche in merito, ed, in misura minore, al fatto che le organizzazioni in Italia
spesso non hanno ancora gli strumenti organizzativi e tecnologici per rendersi conto di
essere state compromesse.
Auspichiamo che, con l’attivazione del CERT nazionale e nel dare attuazione agli indirizzi
espressi dal “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, si riesca a porre rimedio a questa situazione di carenza informativa ed in alcuni casi di “omertà”,
che per un malinteso senso di protezione della propria reputazione porta le organizzazioni
nostrane a non denunciare gli incidenti subiti se non quando assolutamente inevitabile, il
che danneggia concretamente tutta la collettività.
Ciò premesso, analizziamo e commentiamo i 35 incidenti italiani del nostro campione, cominciando dalla distribuzione temporale degli attacchi e dalla loro linea di tendenza.
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
©
Clusit 2014 25
Rapporto 2014 sulla Sicurezza ICT in Italia
Ricordando che i casi analizzati rappresentano un punto di vista particolare e parziale, dato
che si riferiscono agli attacchi di dominio pubblico che hanno avuto un impatto significativo
(mediatico e/o economico), riportiamo una sintesi dei bersagli colpiti:
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
Il grafico sopra riportato, che si discosta dalle statistiche globali che abbiamo presentato
analizzando gli attacchi avvenuti all’estero, si spiega analizzando le finalità degli attaccanti,
che in base ai dati a nostra disposizione sono state le seguenti:
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
26
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
In pratica in base agli incidenti noti nel nostro Paese sembrerebbe che gli attacchi siano
stati prevalentemente causati da azioni di Hacktivism, a fronte di una quota di attacchi noti
realizzati dal Cyber Crime che è meno di un terzo (17%) rispetto a quella rilevata a livello
internazionale (53%). Questo ci porta a supporre che la maggior parte di questo tipo di
attacchi non sia di dominio pubblico (anche alla luce dei risultati dell’analisi realizzata da
FASTWEB, che come vedremo più avanti, analizzando il traffico sulla propria rete, segnala
una situazione diametralmente opposta).
Questa la distribuzione percentuale dei bersagli, con una netta prevalenza di vittime
nell’ambito istituzionale e della politica:
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
Per maggiore chiarezza espositiva abbiamo effettuato una classificazione di dettaglio delle
vittime in ambito istituzionale:
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
©
Clusit 2014 27
Rapporto 2014 sulla Sicurezza ICT in Italia
Nel grafico seguente la distribuzione delle tecniche di attacco utilizzate:
© Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia
In un campione dominato dalla presenza di attaccanti di tipo Hacktivist, prevalgono gli
attacchi di tipo DDoS, seguiti da quelli basati sullo sfruttamento di vulnerabilità / misconfigurazioni e su SQL Injection.
D’altra parte va detto che i bersagli italiani risultano essere in media particolarmente suscettibili di compromissione anche quando gli attaccanti utilizzino tecniche banali e di
semplice attuazione.
Di seguito una descrizione sintetica degli incidenti analizzati, suddivisi in tre gruppi: attacchi realizzati da hacktivist con finalità di protesta politica (principalmente ma non solo, per
“solidarietà” con il movimento NoTAV), attacchi realizzati con altre finalità (principalmente
in base ad istanze ambientaliste), ed attacchi realizzati con finalità di lucro (cyber crime).
1) I gruppi facenti riferimento alla “galassia” di antagonisti che utilizza il nome collettivo
“Anonymous” (e sigle collegate), hanno effettuato una serie di attacchi contro istituzioni
governative, partiti ed uomini politici, aziende e forze dell’ordine, riconducibili per lo più
alle campagne di protesta denominate “#OpItaly”, “#OpRevenge” ed “#OpTrasparenza”.
In particolare, in ordine cronologico:
11 marzo: Casapounditalia.org
Un attacco DDoS ha causato il disservizio del portale per diverse ore.
15 marzo: Forza Nuova, Fiamma Tricolore e Lealtà e azione
Azione dimostrativa che ha fatto seguito all’attacco verso il portale Casapounditalia.org
durante la quale ben tre portali web appartenenti allo stesso schieramento politico sono
stati resi irraggiungibili per diverse ore a causa di un attacco DDoS.
28
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
3 maggio: Movimento 5 stelle
Attacco durante il quale, tramite tecniche di hacking, sono stati sottratti e pubblicati
dati (principalmente documenti interni ed email) di membri del movimento, per un
totale di 4GB di informazioni33.
28 marzo: coisp.it
Il primo di una serie di attacchi informatici contro le Forze dell’Ordine, realizzato colpendo in questo caso il sito di uno dei sindacati della Polizia Italiana, tramite un attacco
DDoS che ha reso il servizio irraggiungibile per alcune ore34.
20 Maggio: poliziadistato.it
L’attacco, rivendicato dal gruppo di hacktivisti, ha consentito a questi ultimi di sottrarre
e pubblicare username, password e numeri telefonici (privati e non) di appartenenti alle
forze dell’ordine35.
24 Maggio: siulp.it
Attacco in cui sono stati sottratti e pubblicati dati (documenti) relativi a membri del
Sindacato Unitario Lavoratori di Polizia. Successivamente il sito è stato vittima di un
defacement36.
26 Maggio: sap-nazionale.org
Attacco durante il quale sono stati sottratti e pubblicati dati relativi agli account (username & password) degli utenti del portale del Sindacato Autonomo di Polizia37.
28 maggio: Ministero degli Interni
Attacco che ha condotto al furto di dati (documenti) dal portale del Ministero degli
Interni, per un totale di circa 650 Mb di informazioni38.
28 giugno: Casaleggio & Associati
Defacement del sito dell’azienda39.
19-25 Ottobre: mit.gov.it, cortedeiconti.it, cassaddpp.it, sviluppoeconomico.gov.it,
Ministero delle Infrastrutture e dei Trasporti, Regione Piemonte
Serie di attacchi DDoS portati verso differenti bersagli che sono stati resi irraggiungibili
per alcune ore40.
33
34
35
36
37
38
39
40
©
http://www.pcprofessionale.it/2013/04/24/anonymous-e-lattacco-alle-mailbox-dei-parlamentari-m5s-e-democrazia-diretta/
http://www.ilfattoquotidiano.it/2013/03/28/aldrovandi-anonymous-blocca-sito-del-coisp-insabbiate-verita/545716/
http://www.giornalettismo.com/archives/945831/anonymous-pubblica-i-dati-dei-poliziotti-italiani/
http://www.ilmessaggero.it/tecnologia/hitech/anonymous_hacker/notizie/283732.shtml
http://www.pianetatech.it/internet/attualita/anonymous-vs-sap-sindacato-polizia-attacco-hacker-documenti-online-foto-video.html
http://daily.wired.it/news/internet/2013/05/28/anonymous-dati-ministero-interno-hack-52652.html
http://daily.wired.it/news/internet/2013/06/28/anonymous-casaleggio-attacco-56728.html
http://www.squer.it/of/anonymous-con-i-notav-down-i-siti-di-mit-mse-e-regione-piemonte/
Clusit 2014 29
Rapporto 2014 sulla Sicurezza ICT in Italia
9 novembre: Giuseppe Scopelliti
Attacco portato contro il sito web del governatore della Regione Calabria, durante il
quale sono stati sottratti e pubblicati documenti di vario genere41.
22 novembre: enricoletta.it, Regione Piemonte, sviluppoeconomico.gov.it, ltf-sas.com
Per solidarietà con i NoTAV, nell’ambito del #OpPayBack il collettivo Anonymous ha
compiuto attacchi DDoS verso diversi siti istituzionali, rendendoli irraggiungibili per
qualche ora42.
25 novembre: Roberto Maroni
Attacco portato contro una casella di posta del presidente della regione Lombardia Roberto Maroni che ha permesso agli hacktivisti (con la sigla “CyberGuerrilla”) di sottrarre
diversi tipi di documenti riservati43.
11 dicembre: Matteo Renzi
Attacco DDoS verso il portale del sindaco di Firenze e segretario del partito Democratico, messo offline per 24 ore44.
18 dicembre: interno.gov.it, poliziadistato.it
Ennesimo attacco DDoS contro portali governativi che hanno subito un disservizio di
qualche ora.
23 dicembre: Matteo Renzi
Un altro attacco verso il sito web di Matteo Renzi, questa volta un hacker denominato
RenziHack è riuscito tramite una tecnica di tipo SQL Injection ad effettuare il dump di
430.000 tra username, emails, password e numeri telefonici45.
2) Alle precedenti attività antagoniste orientate verso le istituzioni ed il mondo della politica, si aggiungono una serie di attacchi rivendicati su Twitter con l’hashtag #OperationGreenRights, effettuati tramite DDoS e compromissione di di differenti portali, con il relativo
leak di credenziali di accesso. I bersagli di tali attività sono industrie/aziende ed enti regionali/ governativi, colpiti per motivazioni legate a tematiche ambientali.
15 aprile: Porto di Gioia Tauro e Consiglio Regionale della Calabria
Attività effettuata per protestare contro il rigassificatore nella città di Gioia Tauro, per
questo motivo il gruppo di Hacktivist ha portato contro i due target appartenenti alla
regione interessata attacchi DDoS ed ha sottratto dati dal database dei siti web46.
41
42
43
44
45
46
http://www.corrieredellacalabria.it/stories/reggio_e_area_dello_stretto/18894_ecco_cosa_c_nel_computer_di_scopelliti/
http://www.giornalettismo.com/archives/1230735/anonymous-allattacco-contro-la-tav/
http://www.lettera43.it/politica/anonymous-contro-maroni-mail-violata_43675114453.htm
http://www.internazionale.it/news/partito-democratico/2013/12/12/attacco-hacker-contro-sito-renzi-irragiungibile-per-24-ore/
http://www.wired.it/attualita/2013/12/24/renzi-hack-quando-anonymous-attacca-politici/
http://www.dailygreen.it/news/item/1539-anonymous-attacca-gioia-tauro-%C3%A8-operationgreenrights.html
30
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
18 aprile: Ministero dell’Ambiente e oltoffshore.it
L’attività di protesta contro i rigassificatori continua e questa volta ad esser vittima, di
attacchi DDoS sono la Olt Offshore ed il Ministero dell’Ambiente, i cui portali subiscono un disservizio di alcune ore a causa di attacchi DDoS47.
20 aprile: Comune di Livorno, ASA SpA, Porto di Livorno, Grimaldi Lines, Grandi
navi veloci e Comune Rosignano
Ancora una protesta, questa volta contro la morte dei cetacei, realizzata verso numerosi
target resi irraggiungibili tramite attacchi DDoS. A tali attacchi seguono la diffusione di
credenziali e dati personali di 697 utenti (username e password) sottratti ai siti colpiti48.
3 agosto: Ministero dell’ambiente
Protesta contro i rigassificatori attuata con un attacco che ha portato a sottrarre un ampio pacchetto di dati (specifiche rigassificatori) e circa 4.000 account di utenti49.
8 agosto: irenemilia.it , oltoffshore.it, saipem.com
Protesta contro l’inceneritore di Parma, attacco che portato il gruppo di hacktivisti a sottrarre
circa 800 Mb di dati ed a realizzare il defacement di alcune pagine del sito web irenemilia.it
Inoltre le proteste hanno colpito anche i portali web Oltoffshore e Saipem, con un
DDoS che ha causato disservizio per circa 24 ore50.
11 agosto: difesa.it e Comune di Niscemi
Protesta contro le antenne dell’installazione militare Muos di Niscemi. L’attacco DDoS
ha messo fuori uso i siti colpiti per qualche ora. Nel contempo sono stati sottratti e divulgati documenti ufficiali tra ambasciata U.S.A., membri del governo e della Regione
Sicilia51.
30 Ottobre: eni.it, saipem.com
Attività di protesta contro i portali web delle due aziende, accusati da Anonymous di
causare danni all’ambiente, sono stati oggetto di furto di vari tipi di dati tra cui spiccavano vecchi progetti di sviluppo di oleodotti e gasdotti52.
5 Novembre: enel.it
Attacco che ha permesso di sottrarre e divulgare dati relativi alla costruzione della centrale nucleare di Mochovce (Slovacchia)53.
47
48
49
50
51
52
53
©
http://www.pianetatech.it/internet/attualita/ministero-dell-ambiente-risposta-anonymous-dopo-attacco-hacker-sito-comunicato.html
http://iltirreno.gelocal.it/cecina/cronaca/2013/04/21/news/gli-hacker-di-anonymous-rubano-i-dati-al-comune-1.6924870
http://www.zeusnews.it/n.php?c=19627
http://www.parmatoday.it/cronaca/anonymous-inceneritore-parma-iren-emilia.html
http://www.linksicilia.it/2013/08/no-muos-anonymous-colpisce-i-siti-del-comune-di-niscemi-e-della-difesa/
http://espresso.repubblica.it/attualita/2013/10/29/news/eni-saipem-hackerata-da-anonymous-1.139330
http://www.pianetatech.it/internet/attualita/anonymous-vs-enel-attacco-hacker-mail-file-online-operationgreenrights.html
Clusit 2014 31
Rapporto 2014 sulla Sicurezza ICT in Italia
8 dicembre: Regione Piemonte
Protesta contro la TAV, realizzata tramite un defacement del portale web della regione
Piemonte54.
3) Infine riportiamo anche alcuni attacchi di dominio pubblico non legati a finalità di
Hacktivism, tra i quali utilizzo abusivo di risorse informatiche, tentativi di estorsione, hijacking di account Facebook atti a redirigere utenti su siti malevoli, defacement e furti di dati
personali con finalità varie (frodi, furti di identità), etc.
1 gennaio: CNR Genova
L’hacker ha agito via smartphone o comunque utilizzando un dispositivo mobile. Dal
28 al 31 dicembre è penetrato almeno sei volte nella rete del CNR di Genova. E’ stato
calcolato che nel poco tempo disponibile lo sconosciuto abbia spedito tramite i server
del Consiglio Nazionale delle Ricerche oltre un milione di email55.
17 Gennaio: Partitodemocraticotrentino.it
In prossimità del periodo elettorale un hacker chiamato @TheNeoGod è riuscito a sottrarre, tramite lo sfruttamento di tecniche di tipo SQL Injection, i dati degli utenti
registrati nel portale Partitodemocraticotrentino.it
16-17 febbraio: Tribunale di Milano
Defacement del sito del Tribunale, accompagnato da un messaggio che richiama graficamente, ma non nei contenuti, le modalità utilizzate da Anonymous. La sigla che
rivendica l’attacco è sconosciuta56.
Aprile-Marzo: in.enasarco.it
L’attacco ha colpito il sito internet istituzionale di Enasarco indirizzandosi verso l’URL
specifica dedicata al recupero delle password dimenticate dagli utenti registrati. In alcuni momenti la frequenza delle richieste fraudolente è stata così elevata da sovraccaricare l’intera struttura del sito (web server farm e database server)57.
8 luglio: websolutions.it
Dopo aver sottratto dati di decine di migliaia di utenti, l’attaccante ha effettuato un tentativo di estorsione verso l’azienda, chiedendo un pagamento per non diffondere i dati.
Il tentativo di ricatto è fallito a causa del rifiuto dell’azienda58.
54
http://www.tomshw.it/cont/news/anonymous-con-i-notav-defacing-regione-piemonte/51674/1.html
http://www.ilsecoloxix.it/p/genova/2013/02/25/APpWvwqE-hacker_sabotati_attacco.shtml
56 http://www.professionegiustizia.it/notizie/notizia.php?id=211
57 http://www.enasarco.it/allegati/10674465-636f-42b0-aa76-f45b457485e2.olts
58 http://news.softpedia.com/news/Rex-Mundi-Hackers-Blackmail-Italian-Hosting-Service-Websolutions-it-366685.shtml
55
32
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
13 luglio: sony.it
Un database della multinazionale, ospitato in Italia, contenente dati relativi a promozioni effettuate da Sony Italia con dati relativi al 2006/2007 è risultato essere stato violato
consentendo il furto di dati anagrafici quali nome, cognome, indirizzo, mail, numero
di telefono ed anno di nascita, tuttavia il database violato non conteneva dati relativi a
carte di credito59.
12 settembre: Alpitour, Francorosso, Viaggidea, e Villaggi Bravo
Gli account delle diverse pagine Facebook del Gruppo Alpitour sono stati sottratti da
cyber criminali egiziani, che hanno iniziato a pubblicare a nome dell’Azienda link malevoli, al fine di redirigere gli utenti su pagine infette da malware (Zeus). Il malware
tentava di infettare i sistemi e di effettuare il furto di credenziali bancarie delle vittime.
L’attacco è durato almeno 48h prima di essere risolto, con il recupero del controllo delle
pagine Facebook60.
30 novembre: Regione Lombardia
Ignoti attaccanti hanno messo fuori servizio il portale della Regione per diverse ore61.
59
http://www.dday.it/redazione/10093/Violato-un-datato-database-di-Sony-Italia.html
61
ti-6XHELfHFLlVuGq5RfstdMO/pagina.html
http://www.ecodibergamo.it/stories/Cronaca/il-sito-di-regione-lombardia-sotto-attacco-da-parte-degli-hacker_1035303_11/
60 http://www.lastampa.it/2013/09/15/italia/cronache/alpitour-cyberattacco-via-facebook-false-offerte-per-rubare-dati-agli-uten-
©
Clusit 2014 33
Rapporto 2014 sulla Sicurezza ICT in Italia
Analisi FASTWEB della situazione italiana in materia di
cyber-crime e incidenti informatici
I dati analizzati
Per riuscire a comprendere al meglio i contenuti dell’analisi svolta è necessario una premessa in merito al tipo di dati utilizzati per realizzarla.
Il perimetro dei dati analizzati è costituito da tutti i dati relativi ai circa 200.000 indirizzi IP appartenenti all’Autonomous System dell’Internet Service Provider FASTWEB SpA
(quindi sia quelli dei Clienti che di FASTWEB stessa), raccolti ed analizzati dal Security
Operations Center.
In particolare:
- i dati relativi a malware e botnet (virus, trojan e più in generale software malevolo) sono
stati ricavati da un mix di strumenti interni e da servizi esterni come Shadowserver
Foundation;
- I dati relativi ai defacement sono stati ricavati sia da segnalazioni ricevute internamente
che da fonti aperte ed archivi disponibili su Internet;
- I dati sui Distributed Denial of Service sono stati ricavati da tutte le anomalie DDoS
rilevate dai sistemi di DDoS mitigation.
È importante sottolineare che tutti i dati, prima di essere analizzati, sono stati automaticamente aggregati e anonimizzati per proteggere la privacy e la sicurezza sia dei
Clienti che di FASTWEB stessa.
Visione d’insieme
Nel 2013 la situazione italiana nel complesso appare paradossale. Se da una parte infatti
il mercato della sicurezza informatica rimane uno dei pochi che continua a crescere e la
richiesta di figure professionali continua ad essere maggiore rispetto alla disponibilità di
risorse sul mercato, dall’altra parte pur incrementando o mantenendo costante il budget, il
livello di sicurezza delle aziende italiane continua a scendere.
Questo fenomeno è legato al fatto che la sensibilità rispetto alle tematiche di sicurezza
continua a viaggiare ad una velocità estremamente inferiore rispetto all’evoluzione delle
minacce. Nel necessario trade-off tra necessità di business e requisiti di sicurezza, questi
ultimi finiscono per essere messi da parte, il che favorisce gli attaccanti, incrementando la
percentuale di attacchi che riescono ad andare a segno.
Per quanto riguarda la tipologie e le finalità degli attaccanti, lo scenario si è in pochi anni
modificato radicalmente. Mentre in origine gli attaccanti erano principalmente Hackers,
oggi si tratta principalmente di criminali che acquistano strumenti offensivi sviluppati da
terzi per realizzare le loro attività illecite.
Due fenomeni In particolare hanno impresso un’ulteriore accelerazione a questo fenomeno:
il primo è la diffusione delle crypto-monete (la più famosa è il “Bitcoin”, nata nel 2009),
34
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
diventate molto popolari tra i criminali perché consentono di svolgere attività di cash-out in
modo sostanzialmente non tracciabile, il secondo è l’aumentare dei “click-fraud” cioè delle
frodi legate ai click sui banner e pubblicità online di altro tipo.
Si è notato infatti un incremento enorme di malware sviluppato sia con lo scopo di rubare
questo tipo di moneta che di sfruttare la potenza computazionale dei sistemi compromessi
per generare questo tipo di crypto-monete, aumentando così il valore del proprio portafoglio
virtuale.
Tecniche e conoscenze che un tempo erano appannaggio di appassionati e curiosi, ormai
sono utilizzate oltre che dagli ambiti criminali anche da quelli antagonisti, terroristi e per
finalità militari, con tutt’altri scopi rispetto a quelli con cui erano originariamente nati.
Fortunatamente però anche quest’anno non vi sono stati, in Italia, casi documentati di Cyber Terrorism nè di Information Warfare (escludendo il caso Datagate).
Da sottolineare inoltre la tendenza ad un cambiamento in positivo della visione delle pubbliche amministrazioni, che si dimostrano sempre più affamate di saperi, consapevoli e
decise a condividere le proprie conoscenze ed esperienze.
Le minacce
Le principali minacce
Com’era immaginabile, la maggior parte delle minacce arrivano ancora tramite software malevoli utilizzati principalmente per due tipologie di attività: crimine e spionaggio industriale.
Gli attacchi DDoS crescono invece in maniera esponenziale rispetto agli scorsi anni e costituiscono il 14% degli eventi rilevati, confermando la tesi per cui la possibilità di essere
colpiti da uno di essi è più probabile di quanto si pensi.
Scendono invece i defacement, cioè le azioni volte a modificare una o più pagine web di un
sito (per lo più per motivi dimostrativi).
Questi numeri assumono tali proporzioni in quanto sia virus che più in generale i malware costituiscono la categoria più “consolidata” di minacce informatiche ed accessibile per
chiunque si dedichi a questo tipo di attività. Lanciare attacchi tramite malware è, oltre
che molto remunerativo, estremamente poco rischioso in quanto raramente gli autori di
un malware vengono rintracciati. L’impennata rilevata nell’ultimo trimestre del 2013 non
deve preoccuparci in quanto è dovuta all’evoluzione delle tecniche di rilevazione di nuovi
malware che prima rimanevano “invisibili” alle nostre statistiche.
Ovviamente, a causa della loro natura, non è dato sapere quale sia il valore di altre categorie, sicuramente meno appariscenti in termini di quantità ma non meno in termini di
minaccia come gli APT (Advanced Persistent Threat) o più in generale attacchi 0day.
Questo tipo di minacce infatti, sono estremamente difficili da intercettare ed allo stesso
tempo costituiscono una percentuale estremamente bassa in quanto tali tecniche vengono
utilizzate per attacchi mirati che raramente vengono scoperti.
©
Clusit 2014 35
Rapporto 2014 sulla Sicurezza ICT in Italia
Motivazioni degli attacchi monitorati
Prima di andare avanti occorre sottolineare che i successivi dati sono relativi unicamente
agli attacchi individuati sulla rete FASTWEB, e contengono quindi tutti i tipi di attacco, indipendentemente dal loro impatto. Tali dati pertanto possono risultare discordanti
con il campione Clusit riportato in precedenza, in quanto questi riporta una macrovisione
unicamente legata agli attacchi più gravi divenuti di dominio pubblico registrati nel mondo
(Italia inclusa) nel corso del 2013.
Come già sottolineato nella visione d’insieme, oggi la motivazione principale per cui vengono compiuti attacchi informatici è di natura criminale. In particolare il 60% degli attacchi è
dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre
informazioni (progetti, dati di business, o documenti).
36
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), sebbene
abbiano conquistato dall’estate in poi, quasi settimanalmente, le prime pagine dei giornali,
costituiscono in realtà solamente il 16% degli attacchi rilevati.
Origine degli attacchi
Pur essendo quasi impossibile riuscire a capire quale sia l’origine esatta di un attacco in
quanto l’attaccante potrebbe lanciare un attacco rimbalzando su un qualsiasi altro server in
giro per il mondo, abbiamo analizzato il dato che più gli si avvicina, cioè la localizzazione dei
server utilizzati come centri di controllo (Command and Control).
I risultati confermano quanto gli studi già ci dicevano, cioè che la maggior parte di questi
attacchi (50%) ha come origine l’Asia. L’Europa costituisce la seconda origine (30%) mentre
Stati Uniti e Medio Oriente sono rispettivamente al terzo e quarto posto (10% ognuno).
©
Clusit 2014 37
Rapporto 2014 sulla Sicurezza ICT in Italia
Distribuzione dei centri di controllo durante l’anno
Interessante notare che mentre nel primo trimestre questa percentuale era fortemente sbilanciata in favore dell’Asia, questa differenza si è andata affievolendo fino ad invertire la
tendenza nel quarto trimestre grazie ad un calo verticale della regione asiatica.
Inoltre un altro fattore molto interessante da analizzare è la sostanziale diminuzione dei
centri di controllo rilevati. Se si considera il forte exploit avvenuto durante il primo trimestre ed un periodo di “assestamento” del numero dei centri di controllo rilevato durante il
secondo ed il terzo, assistiamo ad un vero e proprio crollo del numero di questi durante
l’ultima parte dell’anno.
Non bisogna tuttavia commettere l’errore di credere che la rilevazione di un minor numero
di centri di controllo sia direttamente proporzionale ad un minor numero di infezioni, ciò
è sbagliato, tuttavia è un fenomeno di cui tener conto e che può lasciar spazio a diverse
interpretazioni.
Tipologie di malware rilevate
Abbiamo visto che I malware costituiscono la grande maggioranza delle minacce rilevate,
questo fenomeno è infatti probabilmente dovuto a due motivi: il fatto che i malware sono
una minaccia storica e consolidata ed il fatto che, di rimando, le tecnologie per il loro contrasto siano altrettanto consolidate ed evolute.
In questo caso sono state fatte due differenti statistiche:
La prima è relativa ai malware che infettano sistemi Windows, in cui è lampante il predominio di due tipologie di malware molto conosciute: Downadup e ZeroAccess.
Downadup anche conosciuto come Conficker, Downdup o Kido worm del 2008, sfrutta
vulnerabilità del 2008 e del 2009 (a seconda della variante), si diffonde ancora probabilmente in gran parte grazie alle condivisioni di rete senza protezione o con password debole.
ZeroAccess, (anche conosciuto come Sirefef), è invece un Trojan horse che colpisce i sistemi operativi Microsoft Windows. Le sue capacità di diffusione sono molteplici: tramite
38
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
siti web che sfruttano delle vulnerabilità di browser o plugin, attraverso l’esecuzione di
eseguibili contenenti codice malevolo (come ad esempio i file di tipo keygen che facilmente
trovano terreno fertile nell’ambito P2P) o tramite l’installazione diretta da parte di terzi che
hanno ottenuto un accesso diretto.
La sua attività consiste nell’ effettuare il download di altri malware sugli host infetti al fine
di formare botnet per lo più coinvolte in “Bitcoin mining” (generazioni di crypto-moneta) e
“click fraud”, inoltre ha la capacità di nascondersi grazie ad alcune caratteristiche tipiche
dei rootkit.
La botnet ZeroAccess (conosciuta anche come ZAccess o Siref) conta, nel mondo, più di 2
milioni di host infetti, e proprio agli inizi di Dicembre 2013, un colosso del settore informatico62, in collaborazione con altre organizzazioni governative e non, ha effettuato un’attività
di bonifica di 18 “Centri di Controllo” isolandone la componente “click fraud”.
Tuttavia è stato calcolato che ancora più del 60% dei “Centri di Controllo” è rimasto attivo,
grazie alla capacità di ZeroAccess di propagarsi tramite connessioni P2P. Ciò ha portato a
definire il tentativo di Microsoft & co., un fallimento.
La seconda statistica elaborata, rappresenta invece le tipologie di botnet rilevate.
Considerando quindi che la botnet di ZeroAccess, nonostante il tentativo di bonifica effettuato in Dicembre, conti ancora milioni di host infetti, non c’è da sorprendersi che questa
ricopra quasi il 75% dei malware facenti parte di botnet rilevate, soprattutto se si considera
la capacità di questi di propagarsi tramite P2P ed un mix di ulteriori altri tecniche.
62
©
Fonte: http://arstechnica.com/security/2013/12/microsoft-disrupts-botnet-that-generated-2-7m-per-month-for-operators/
Clusit 2014 39
Rapporto 2014 sulla Sicurezza ICT in Italia
Una parte meno corposa è invece rappresentata dalla già nota botnet del malware trojan
Zeus aka Zbot, malware che può essere generato tramite l’utilizzo di un kit, distribuito
intorno al 2008, il quale permette di crearne il codice senza avere particolare competenze.
Questa particolarità ha favorito, negli anni, il proliferare di centinaia di differenti tipologie
di versioni dello stesso malware, facendo sì che sia attualmente riconosciuta come la più
grande famiglia malware presente su internet.
Distribuzione mensile della diffusione di malware
I dati FASTWEB, relativi alla diffusione malware, e riportati nel grafico sottostante, sono
eloquenti. Nonostante durante la maggior parte del 2013 si sia verificato un trend abbastanza costante, relativo al numero degli host infetti, dal mese di settembre assistiamo ad una
crescita esponenziale dovuta all’improvvisa diffusione sulla rete del malware Zeroacces, il
quale in soli 3 mesi costituisce più del 70% dei malware rilevati.
Si ricorda che i dati esposti sono aggregati e statistici, per quanto più granulari possibili, la
rilevazione malware viene ottenuta su base giornaliera, tali dati poi sono stati successivamente aggregati e distribuiti su scala mensile, pertanto non stiamo parlando di host infetti
“univoci”.
40
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Defacement
Quanti sono i defacement
Un altro diffuso scopo degli attacchi sono i defacement, cioè la variazione di una pagina
web (tipicamente la home page) a scopi dimostrativi. Come possiamo facilmente notare dai
grafici, questo tipo di attività non ha una enorme diffusione e raggiunge un picco solo nel
mese di Agosto, probabilmente a causa del fatto che le motivazioni legano queste attività al
“tempo libero”.
In questo caso la base di dati analizzata sono, come già specificato, tutti i siti web di Clienti
che hanno un IP appartenente all’Autonomous System di FASTWEB.
©
Clusit 2014 41
Rapporto 2014 sulla Sicurezza ICT in Italia
Chi è obiettivo di un defacement
I dati esaminati durante l’anno, relativi ai defacement, indicano che i principali obiettivi
di tale tipologia di attacco sono appartenenti al settore privato, in particolare aziende ed
industrie.
Il settore relativo alle organizzazioni (associazioni private, no profit etc.) viene subito dopo
seppur rappresentandone una fetta decisamente più piccola. Successivamente abbiamo
defacement portati contro target di ambito governativo (principalmente siti web relativi ai
comuni di determinate città italiane) e finanziario.
Le briciole vere e proprie sono rappresentate da attacchi portati contro siti web di persone
private (personaggi dello spettacolo o appartenenti al mondo della politica), portali e-commerce e educazione (in particolare siti web di scuole).
42
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Attacchi DDoS (Distributed Denial of Service)
Un capitolo a parte viene costituito dagli attacchi di tipo Distributed Denial of Service
(DDoS), attacchi volti a rendere inaccessibili alcuni tipi di servizi (principalmente web e
mail).
Questo genere di attacchi possono essere divisi in due tipologie differenti: volumetrici e
applicativi.
Gli attacchi di tipo volumetrico mirano a generare un volume di traffico maggiore o uguale
alla banda disponibile in modo da saturarne le risorse.
Gli attacchi di tipo applicativo mirano a generare un numero di richieste maggiore o uguale
al numero di richieste massimo a cui un server può rispondere (es. numero di richieste web
HTTP/HTTPS concorrenti).
Come più volte sottolineato, compiere questo genere di attacchi è divenuto sempre più
semplice, soprattutto grazie a servizi facilmente acquistabili tramite carte di credito prepagate e bitcoin che permettono di effettuare questi attacchi senza possedere pressoché
alcuna capacità tecnica particolare.
Quanto è diffuso il fenomeno
Durante il 2013 abbiamo rilevato più di 1000 anomalie riconducibili a probabili attacchi
DDoS, dirette verso i Clienti di FASTWEB, un crescendo esponenziale che ha avuto un
culmine negli ultimi due mesi dell’anno con quasi 400 anomalie a Novembre e 600 a Dicembre. Questi dati ci fanno capire chiaramente che il fenomeno è molto più diffuso di
quanto si pensi. La tendenza è pensare che questo tipo di attacchi vengano portati solamente verso siti istituzionali e siti vetrina, la realtà è che invece questo tipo di attacchi colpisce
un po’ tutti i settori e non sono più solo indirizzati verso i siti vetrina ma anche verso il cuore
della comunicazione, per esempio la posta elettronica.
©
Clusit 2014 43
Rapporto 2014 sulla Sicurezza ICT in Italia
Le vittime di un attacco DDoS
La rilevazione effettuata durante l’anno indica che i tre principali obiettivi degli attacchi
DDoS sono le istituzioni governative (Ministeri, Pubbliche Amministrazioni locali e centrali, etc), le banche ed il settore industriale.
Questra rilevazione rappresenta una statistica immaginabile in quanto il network di attivisti “Anonymous”, che svolge principalmente delle azioni dimostrative di protesta tramite
attacchi di questo tipo verso le istituzioni, è stato parecchio attivo, soprattutto durante la
seconda parte dell’anno.
È interessante sottolineare che, dalle analisi svolte, la totalità degli attacchi diretti verso
il settore governativo non aveva, almeno apparentemente, finalità di cyber warfare ma era
solamente frutto di azioni dimostrative.
44
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Distribuzione mensile delle mitigation attivate
Di seguito viene riportata la distribuzione mensile delle mitigation attivate dal Security
Operations Center di FASTWEB. Con mitigation vengono intese le attività di contromisura
applicate al fine di neutralizzare gli attacchi DDoS. Tali contromisure vengono applicate
solo nel caso in cui, a seguito di analisi specialistica, l’anomalia di traffico rilevata e registrata dagli strumenti sia classificata come attacco conclamato ed il Cliente abbia richiesto
l’attivazione della protezione.
Come vengono effettuati gli attacchi DDoS
Passiamo quindi ad un’analisi delle modalità con cui gli attacchi vengono effettuati.
Quali sono i servizi attaccati da un ddos
Com’ è possibile verificare dal grafico sotto riportato, gli attacchi DDoS vanno maggiormente ad impattare i servizi web, attaccando il protocollo http e quindi mirando a rendere tali
servizi irraggiungibili dagli utenti. Tuttavia non è l’unico caso registrato, sono stati verificati
anche casi in cui gli attacchi DDoS sono stati mirati a negare altre tipologie di servizi come,
ad esempio, la posta elettronica, cercando di saturare il servizio POP3 associato alla posta
in ingresso.
©
Clusit 2014 45
Rapporto 2014 sulla Sicurezza ICT in Italia
Distribuzione source port
Le due porte sorgenti più utilizzate durante gli attacchi sono la 53 e la porta 22. La rilevazione di un così alto numero di attacchi provenienti dalla porta 53, è dovuta a tecniche
di dns amplification. Nel 68% degli attacchi, la porta sorgente era invece casuale, tipico
comportamento di tecniche di syn flood.
Tecniche di attacco utilizzate
Le tecniche di attacco utilizzate durante l’esecuzione dei DDoS rilevati, non presentano
grosse novità tecniche.
La maggior parte degli attacchi rilevati è rappresentata da “TCP Synflood” (o half open) tramite il quale l’attaccante, forgiando pacchetti SYN in cui è falsificato l’IP mittente (spesso
46
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
inesistente), impedisce la corretta chiusura del three-way handshake, in quanto, nel momento in cui il server web vittima invia il SYN/ACK all’IP sorgente (ricordiamo inesistente), questi non ricevendo alcun ACK di chiusura lascerà la connessione “mezza aperta”, se
quindi l’host attaccante, invia un numero elevato di pacchetti SYN e se a questo associamo
anche alti tempi di timeout delle connessioni, il buffer del server sarà presto saturo e reso
inagibile ad accettare ulteriori connessioni TCP, anche se legittime.
Successivamente c’è la variante “al contrario” della precedente tipologia di attacco, denominata “SYN-BY FIN” durante la quale l’attaccante crea delle connessioni legittime e di breve
durata con il server target, successivamente cerca di abbattere tali connessioni inviando dei
pacchetti FIN verso l’host vittima. Quest’ultimo invierà all’attaccante un pacchetto FIN/
ACK e rimarrà (come nel caso delle connessioni mezze aperte) in vana attesa del l’ACK finale per chiudere la connessione. Ed anche in questo caso, un elevato numero di pacchetti
FIN può portare a saturare il buffer e quindi a causare un disservizio.
Successivamente abbiamo attacchi di tipo “UDP Flood” molto facile da attuare in quanto
a differenza del protocollo TCP non prevede l’instaurazione di una connessione vera e propria, possiede tempi di trasmissione e risposta estremamente ridotti ed ha quindi maggiori
probabilità di esaurire il buffer tramite il semplice invio massivo di pacchetti UDP verso
l’host target dell’attacco.
In ultima analisi vi sono i DRDoS – Distributed Reflection Denial of Service, anche
se nel caso specifico si tratta di DNS Reflected, la cui particolarità è quella di sfruttare appunto server DNS come riflettori, tuttavia proprio la struttura dei DNS permette di
amplificare il volume dell’attacco. Tramite lo spoofing dell’indirizzo IP di una vittima, un
utente malintenzionato può inviare piccole richieste ad un server DNS chiedendogli quindi
di inviare alla vittima “risposte” ripetute e assolutamente non volute/richieste. Questa tipologia di DDoS permette al malintenzionato di amplificare la potenza del suo attacco anche
di 70 volte.
©
Clusit 2014 47
Rapporto 2014 sulla Sicurezza ICT in Italia
Qual è il volume degli attacchi ddos
I volumi degli attacchi registrati durante il 2013 hanno avuto una particolare tendenza a
crescere. Nonostante durante la prima parte dell’anno non abbiano mai superato 1Gb di
traffico, abbiamo assistito, durante la seconda parte dell’anno ad un sostanziale aumento
dei picchi di intensità, questo anche grazie alla sempre più facile possibilità di ottenere una
maggiore potenza d’attacco.
Grazie all’utilizzo di botnet e host zombie a pagamento, la totalità degli attacchi rilevati è
riuscita a saturare, la banda a disposizione degli host vittima.
Quanto dura un attacco DDoS
I dati forniti dal Security Operations Center di FASTWEB sono eloquenti, descrivendo
uno scenario di attacchi, fatta esclusione di qualche eccezione, relativamente brevi, la cui
durata è in media di 1 ora.
Si può inoltre affermare che la durata degli attacchi è stata sicuramente influenzata dal fatto
che questi siano stati neutralizzati con successo, il che ha portato l’attaccante ad interrompere la sua attività nel momento in cui questa gli sia risultata inefficace.
48
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Il Problema dei DNS open resolver
Tramite l’interrogazione di tutti i computer con indirizzi IPv4, non protetti da firewall e con
servizio DNS attivo su porta 53/udp, e catturando la risposta data dal servizio DNS è stato
possibile stilare una classifica delle regioni e città Italiane dove sono presenti potenziali
server utili ad attacchi di tipo DNS Amplification.
I dati rilevati nel corso della seconda metà del 2013 mostrano un numero abbastanza omogeneo di DNS Open Resolver rilevati giornalmente, la cui media, fatta eccezione per alcuni
casi, è intorno ai 2000 indirizzi IP.
©
Clusit 2014 49
Rapporto 2014 sulla Sicurezza ICT in Italia
Inoltre si evince che la regione dove risultano essere presenti più server utili ad essere sfruttati, inconsapevolmente, per fini malevoli, è la regione Marche. La differenza con le altre
regioni, in termini di quantità, risulta essere notevole. La regione Lazio rappresenta “solo”
il 12% della totalità dei dns open resolver, seguito da un 9% della Toscana per poi andare a
ridursi ad un mero 3% rispettivamente di Puglia, Veneto ed Emilia Romagna.
Si ricorda che i dati, unicamente relativi all’AS di FASTWEB, sono rilevati nell’ordine di
migliaia di indirizzi IPv4, aggregati e riportati in un grafico esplicativo.
Si fa inoltre presente che l’attività di rilevazione di tali dati è iniziata durante il mese di
Agosto 2013.
50
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
Considerazioni Finali
Per prima cosa dobbiamo assolutamente essere coscienti della situazione non affatto rosea
in cui ci troviamo: il gap tra il livello di protezione delle aziende e l’evoluzione delle nuove
minacce è in continua crescita questo gap si concretizza di un aumento della percentuale
di attacchi che, con un minimo di buona volontà, possono andare a segno.
I fattori che contribuiscono a fare in modo che questo accada sono moltemplici: i tempi
necessari a pianificare gli investimenti sono troppo lunghi rispetto all’evoluzione delle minacce, c’è una tendenza a far nascere per ogni nuova minaccia una nuova tecnologia che
finisce spesso per essere dimenticata dopo poco tempo, c’è una mancanza di un punto di
riferimento serio ed affidabile che funga, non tanto da coordinamento, ma quantomeno da
faro per poter fornire una visuale chiara di quello che sta succedendo ed infine vi è una
quasi totale assenza di volontà di condividere le informazioni.
Allora quali sono le azioni che dovremmo mettere in campo per riuscire ad invertire questa
tendenza?
Dobbiamo consolidare e concentrare le tecnologie, frenando l’inutile tendenza a riempirci
di piattaforme troppo verticali. I tempi di progettazione, approvvigionamento, configurazione e messa in esercizio finiscono spesso per arrivare fuori tempo massimo rispetto alla
minaccia. Inoltre dopo breve tempo c’è il forte rischio che ne venga trascurata la manutenzione rendendo la tecnologia inefficace.
Piuttosto, soprattutto nel caso delle piccole e medie aziende, meglio definire il livello di
sicurezza che si intende raggiungere e rivolgersi a professionisti per l’ottenimento dello
stesso. Questo permetterà di dedicarsi unicamente alle attività core per l’azienda evitando
di sprecare risorse in un campo che segue delle dinamiche di evoluzione troppo elevate
rispetto alle energie che un’azienda di queste dimensioni può investire.
Ci auguriamo infine che si assista alla nascita di un centro unico, super partes, che sia in
grado di raccogliere informazioni provenienti dai maggiori attori nel campo IT, Telecomunicazioni ed infrastrutture sparse sul territorio nazionale, per elaborarle, presentarle e renderle facilmente fruibili a chiunque, al fine di poter ottenere una vista globale ed indipendente
dello stato relativo alle minacce presenti ed alle tendenze per il futuro.
©
Clusit 2014 51
Rapporto 2014 sulla Sicurezza ICT in Italia
BIBLIOGRAFIA
Oltre alle fonti già citate in questa «Panoramica degli eventi di cyber-crime e incidenti informatici più significativi del 2013 e tendenze per il 2014», segnaliamo altre fonti e Report
che abbiamo preso in considerazione.
[1] Frodi nel mondo Mobile - Minacce nel mondo Mobile e il mercato underground –
APWG
http://docs.apwg.org/reports/mobile/apwg_mobile_fraud_report_2013_Italia_
CLUSIT.pdf
[2] Supplemento a Frodi con Dispositivi Mobili – Maggio 2013 - Crimeware dei dispositivi mobili ed il mercato dei servizi illeciti – APWG
http://docs.apwg.org/reports/mobile/apwg_mobile_report_supplement_2013_Italia_
CLUSIT.pdf
[3] Cisco 2014 Annual Security Report - CISCO
www.cisco.com/web/offers/lp/2014-annual-security-report/index.html
[4] Panorama de la Cyber-Crminalité – CLUSIF
www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=CYBER%2DCRIMINALITE
[5] Can Recent Attacks Really Threaten Internet Availability? - ENISA
www.enisa.europa.eu/publications/flash-notes/flash-note-can-recent-attacks-reallythreaten-internet-availability/at_download/fullReport
[6] ENISA Threat Landscape, Mid-year 2013 -  Reality check of 2012’s assessment
and more - ENISA
www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisathreat-landscape-mid-year-2013/at_download/fullReport
[7] Cloud Security Incident Reporting - Framework for reporting about major cloud security
incidents - ENISA
www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/incidentreporting-for-cloud-computing/at_download/fullReport
[8] ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats - ENISA
www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/
enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats/at_
download/fullReport
[9] Smart Grid Threat Landscape and Good Practice Guide - ENISA
www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/sgtl/
smart-grid-threat-landscape-and-good-practice-guide/at_download/fullReport
[10] Risks of using discontinued software – ENISA
www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-usingdiscontinued-software/at_download/fullReport
52
Panoramica degli eventi di cyber-crime e incidenti informatici
più significativi del 2013 e tendenze per il 2014
[11] Feasibility study and preparatory activities for the implementation of a European Early
Warning and Response System against cyber- attacks and disruptions – EUROPEAN
COMMISSION
http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_
id=4438
http://hackmageddon.com/
[12] TID14028USEN-02 IBM Security Directory Integrator - Simplifying identity silos and
cloud integrations - IBM
www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&appname=SWGE_TI_SE_USEN&htmlfid=TID14028USEN
[13] IBM X-Force 2013 Mid Year Trend and Risk Report - IBM
https://www14.software.ibm.com/webapp/iwm/web/signup.do?lang=it_
IT&source=swg-IT_WEB-ORG_Tivoli&S_PKG=ov16986
[14] A new standard for security leaders: Insights from the 2013 IBM Chief Information Security Officer Assessment - IBM
www14.software.ibm.com/webapp/iwm/web/signup.do?lang=it_IT&source=swgWW_Security_Organic&S_PKG=ov17975&S_TACT=102KX1JW
[15] IBM Security Services Cyber Security Intelligence Index - Analysis of cyber security
attack and incident data from IBM’s worldwide security operations - IBM
http://public.dhe.ibm.com/common/ssi/ecm/en/sew03031usen/SEW03031USEN.
PDF
[16] Responding to—and recovering from—sophisticated security attacks - The four things
you can do now to help keep your organization safe - IBM
www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=SA&subtype=WH&htmlfid=SEW03029USEN
[17] Data Breaches - Identity Theft Resource Center –(idtheftcenter.org)
www.idtheftcenter.org/id-theft/data-breaches.html
[18] Cyber threat intelligence and the lessons from law enforcement - KPMG
www.kpmg.com/Global/en/IssuesAndInsights/ArticlesPublications/Documents/
cyber-threat-intelligence-final3.pdf
[19] Future State 2030: The global megatrends shaping governments - KPMG
www.kpmg.com/Global/en/IssuesAndInsights/ArticlesPublications/future-stategovernment/Documents/future-state-2030-v3.pdf
[20] McAfee® Labs: le previsioni sulle minacce per il 2014 - MCAFEE
www.mcafee.com/it/resources/reports/rp-threats-predictions-2014.pdf
[21] Rapporti semestrali – MELANI
www.melani.admin.ch/dokumentation/00123/00124/01555/index.html?lang=it
[22] 2013 Italian Cyber Security Report - Critical Infrastructure and Other Sensitive
Sectors Readiness - Research Center of Cyber Intelligence and Information Security
“SAPIENZA” - Università di Roma
www.dis.uniroma1.it/~cis/media/CIS%20Resources/2013CIS-Report.pdf
©
Clusit 2014 53
Rapporto 2014 sulla Sicurezza ICT in Italia
[23] 2014: attacco agli smartphone e al mobile banking - Dai dispositivi mobile presi sempre
più di mira fino alle grandi violazioni di dati. – TREND MICRO
www.trendmicro.it/newsroom/pr/-attacco-agli-smartphone-e-al-mobile-banking/
index.html
[24] L’Italia conquista il bronzo nella classifica delle nazioni che spammano di più – TREND
MICRO
www.trendmicro.it/newsroom/pr/italia-conquista-il-bronzo-nella-classifica-dellenazioni-che-spammano-di-pi/index.html
[25] Nel mirino degli hacker la piattaforma Android e l’online banking: ecco quanto rivela il
nuovo report Security Roundup di Trend Micro – TREND MICRO
www.trendmicro.it/newsroom/pr/nel-mirino-degli-hacker-la-piattaforma-android-elonline-banking-ecco-quanto-rivela-il-nuovo-report-security-roundup-di-trend-micro/
index.html
[26] Trend Micro lancia l’allarme: le minacce mobile crescono a un ritmo esponenziale ed
emergono nuove tipologie di malware – TREND MICRO
www.trendmicro.it/newsroom/pr/trend-micro-lancia-lallarme-le-minacce-mobilecrescono-a-un-ritmo-esponenziale-ed-emergono-nuove-tipologie-di-malware-/index.
html
[27] Websense 2014 Security Predictions Report - WEBSENSE
http://it.websense.com/content/websense-2014-security-predictions-report.aspx
[28] Global Risks 2014: Digital Wildfires in a Hyperconnected World - WORLD ECONOMIC FORUM
www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf
54
Mercato italiano della sicurezza ICT e
Mercato del lavoro
Introduzione
In uno scenario economico nazionale quanto mai incerto, il mercato dell’ICT Security ha
un andamento ancora positivo, anche se la performance è meno brillante rispetto agli anni
precedenti.
Questo risultato deve molto al coraggio dei player del settore, che hanno dimostrato nel
2013 maggiore versatilità, rispetto al passato, nell’adattare l’offerta per mantenerla competitiva. In più grande misura ha tuttavia contribuito una maggiore sensibilità alle problematiche di sicurezza delle aziende utenti, che hanno saputo, non senza sforzo, mantenere
stabili, quando non hanno aumentato, i propri investimenti in questo ambito.
Il livello di sensibilizzazione, infatti, continua a salire in modo rilevante e, potremmo dire,
tale sensibilità si è resa ancora più pervasiva che in passato: si consolida infatti un trend di
crescita, già osservato negli scorsi anni, della propensione alla spesa in sicurezza da parte
delle medie imprese, forse la più interessante delle novità di questa survey.
Il mercato ha raggiunto anche un maggiore livello di maturità, come testimoniano gli orientamenti di spesa del 2013 e gli obiettivi definiti dalle aziende utenti per la sicurezza nel
2014: pur essendo la maggioranza, si riduce il numero di coloro i quali pongono come
principale priorità la conformità alle normative, ed aumentano invece le imprese che favoriscono la scelta di iniziative a tutela del patrimonio informativo e del business aziendale.
La nuova edizione del nostro Rapporto mette a confronto in questo capitolo i dati a consuntivo che emergono dalle interviste effettuate a oltre 400 aziende della domanda e dell’offerta
di sicurezza ICT, con le previsioni per il 2014 che queste stesse aziende hanno formulato.
Ne esce un quadro dinamico, positivo, con molte conferme e qualche piccola novità.
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 55
Rapporto 2014 sulla Sicurezza ICT in Italia
Un mercato maturo e pronto ad agganciare la crescita
Nonostante i venti di crisi, il mercato della sicurezza ICT conferma anche per il 2013 un
trend, seppure timido, di crescita, confermando il dato che abbiamo registrato fin dalla
prima edizione del Rapporto CLUSIT.
In particolare, per quando riguarda il 2013, i fornitori hanno pressoché confermato i dati
previsionali forniti nel precedente Rapporto, con una lieve preponderanza di coloro i quali
hanno rilevato una crescita (42%), rispetto alle aziende che hanno riscontrato un mercato
stazionario rispetto all’anno precedente (40%).
Le aziende utenti della sicurezza, al contrario, rilevano un dato diverso da quello delle
previsioni (nell’immagine, identificate con una linea tratteggiata): è minore il numero di
aziende che dichiara di aver ridotto gli investimenti nella security rispetto al 2012, ma cresce in modo rilevante il dato delle aziende che non hanno variato il budget rispetto all’anno
precedente. Sempre rispetto alle previsioni del precedente Rapporto CLUSIT per il 2013,
si riduce al 27% circa il numero delle aziende utenti che dichiarano di aver aumentato i
propri investimenti.
56
Mercato italiano della sicurezza ICT e Mercato del lavoro
Relativamente al 2014, il primo dato che leggiamo con interesse è la scomparsa, dal nostro
campione, di aziende che intendono ridurre i propri investimenti per la sicurezza ICT! Lo
stesso campione conferma infatti, per il 2014, una maggiore tendenza a mantenere inalterato il budget della sicurezza.
Tali risultati (pur previsionali) paiono confermare l’opinione diffusa che il mercato di riferimento della sicurezza ICT abbia ormai raggiunto un adeguato livello di maturità.
Tale mercato, tuttavia, si sta ampliando grazie ad una maggiore ricerca e specializzazione
dei fornitori che, complice la crisi, adattano la propria offerta alla pluralità di esigenze delle
nicchie di mercato o delle aree geografiche fino a poco tempo fa scarsamente raggiunte.
E’ con questa chiave di lettura che possiamo interpretare il numero ancora ampio (quasi il
47%) di aziende utenti che prevedono di aumentare i propri investimenti nel settore, ma
soprattutto la proiezione del mercato per il 2014 resa proprio dai fornitori. In questo caso,
le previsioni sono nettamente orientate alla crescita, quasi un plebiscito per un valore superiore al 70% degli intervistati! Se il risultato è sorprendente, bisogna comunque sottolineare
che, dalla prima edizione del Rapporto CLUSIT, i fornitori hanno prodotto previsioni che
nei successivi riscontri si sono sempre rivelate pressoché esatte.
©
Clusit 2014 57
Rapporto 2014 sulla Sicurezza ICT in Italia
Medie imprese crescono…
A conferma della lettura che abbiamo fornito sui dati relativi alla crescita del mercato prevista nel 2014, abbiamo chiesto ai fornitori di security di indicare, dal loro privilegiato punto
di osservazione, la dimensione delle imprese clienti che hanno dimostrato maggiore propensione alla spesa in sicurezza nel 2013. Di nuovo, i fornitori non smentiscono la loro capacità
previsionale, confermando in pieno le ipotesi pubblicate nella scorsa edizione del Rapporto
CLUSIT: il numero delle “grandi” è pressochè il doppio (62,5%) delle “medie” (32%), dato
comunque in crescita (+10% circa) rispetto al 2012, quando il numero relativo alle aziende
medie si attestava attorno al 23%.
Per queste, nel 2014 i fornitori prevedono un ulteriore aumento della propensione alla spesa in sicurezza (+10% rispetto al 2013): che sia per effetto di una maggiore penetrazione del
mercato degli stessi fornitori e dei relativi prodotti, o di una maggiore consapevolezza delle
“medie” imprese, se la previsione del 2014 sarà confermata, si potrà ormai parlare di una
tendenza consolidata. Tale tendenza è forse la più rilevante novità di questo anno, poiché
attesa da tempo da parte degli osservatori del settore anche a livello internazionale, come
58
Mercato italiano della sicurezza ICT e Mercato del lavoro
dimostrano numerose iniziative condotte a livello europeo per sensibilizzare il settore delle
PMI (dove lo stesso CLUSIT ha in più occasioni rappresentato il nostro paese). Tenuto
conto che il tessuto delle imprese italiane è, per la maggior parte, costituito da piccole e
medie imprese, questa tendenza è inoltre il migliore auspicio sia per la diffusione di una
nuova consapevolezza dell’importanza dell’ICT Security, sia per le prospettive e gli spazi che
si potrebbero aprire in fase di ripresa del mercato.
Mobilis in mobile
Il carrello della spesa del mercato della sicurezza ICT resta comunque saldamente in mano
ai grossi player, almeno secondo la quota dei fornitori del nostro campione. I settori Finance
e dell’Energia/Gas/Altri Servizi confermano, se non aumentano, il loro margine tra i settori
che più investono nella security, sia nel 2013 che nelle previsioni del 2014, complici anche
nuove normative in ambito bancario e le aspettative riposte nella diffusione della SCADA
Security.
Rispetto al passato, tuttavia, il 2013 è il primo anno nel quale è possibile osservare cambiamenti significativi nella distribuzione degli investimenti tra gli altri settori: l’immagine che
ci viene offerta è quella di uno scenario in rapido mutamento, dove la domanda e l’offerta
hanno cambiato gli orientamenti sia rispetto al consolidato degli anni passati, sia rispetto
alle previsioni.
Il 2013 è l’ultimo anno in cui le aziende di telecomunicazioni si mantengono sul podio,
per collocarsi, nel 2014 in settima posizione tra le aziende che dimostrano la maggiore
propensione alla spesa in sicurezza. Il 2013 è stato anche l’anno in cui le aziende utenti nel
©
Clusit 2014 59
Rapporto 2014 sulla Sicurezza ICT in Italia
settore del commercio hanno fatto registrare il migliore risultato dal 2011 (3° posto a pari
merito con le Telco), contro le previsioni date dal nostro stesso campione lo scorso anno.
Evidentemente tale situazione non è ritenuta strutturale, poiché i fornitori prevedono una
nuova flessione nel 2014. Delude il risultato nell’ambito delle società di servizi informatici
nel 2013, tendenza confermata per il 2014. Sorprendono il settore Manifatturiero e dei
Trasporti, che registrano nel 2013 una propensione alla spesa in sicurezza decisamente più
alta rispetto al 2012 e non prevista dal nostro campione nel 2013, in crescita nelle stime
del 2014.
Più in generale, questo outlook per settori di attività risulta essere quello che ha disatteso
maggiormente le aspettative e che può riservare maggiori sorprese nel futuro: se si considera che per il 2013 nel 42% dei casi i fornitori hanno rilevato un aumento degli investimenti
dei propri clienti, come precedentemente osservato, evidentemente abbiamo un’ulteriore
conferma che il mercato della sicurezza sta modificando in modo anche sensibile i propri
orientamenti. Inoltre, pare dimostrare una sana e buona capacità di adattamento, dal momento che tali orientamenti sono stati evidentemente intercettati dall’offerta. Sarà pertanto
interessante verificare, nella prossima indagine, l’effettiva quota di investimenti dei settori
attualmente ritenuti meno promettenti o tradizionalmente più “chiusi”, come la sanità, la
grande distribuzione e la difesa.
Continua a crescere la sensibilità verso la sicurezza ICT
Anche per quest’anno si conferma un aumento della sensibilità delle aziende utenti al tema
dell’ICT security: questo è il dato più confortante, dato che il 67% del campione non ha
dubbi, confermando un trend che cresce, rispetto all’anno precedente, di circa il 15%.
60
Mercato italiano della sicurezza ICT e Mercato del lavoro
Meno della metà, il 27%, sono invece le aziende utenti che rilevano di aver mantenuto la
stessa soglia di attenzione ai temi della sicurezza ICT rispetto all’anno precedente.
Il punto di vista dei fornitori è meno orientato: solo il 48% rileva un aumento dell’attenzione da parte dei propri clienti, in lieve flessione (-4%) rispetto al 2012. Sono poco meno i
fornitori che dichiarano che i propri clienti hanno al più mantenuto la medesima sensibilità
rispetto all’anno precedente.
Il dato sorprendente, soprattutto in questi tempi di crisi (si sa, spesso l’ICT security costituisce la Cenerentola tra gli ambiti di investimento delle imprese, soprattutto a confronto con
altri capitoli di spesa) è il numero di aziende per le quali l’attenzione alla sicurezza risulta
diminuita: per queste, utenti e fornitori concordano su un valore decisamente basso, attorno al 7%. Pur enfatizzando un quadro generale decisamente positivo, è doveroso precisare
che questo dato, rispetto all’anno precedente, è in lieve aumento.
Quando la conformità, da sola, non basta più
La conformità continua ad essere il principale driver di investimento delle imprese italiane,
come emerge dal dato aggregato ottenuto dai questionari compilati da utenti e fornitori di
sicurezza.
Il 2013, in generale, ha visto tendenze di investimento piuttosto nette e concentrate su
alcune tematiche specifiche. Predominano, oltre alla conformità, le iniziative relative al disaster recovery (il 14% degli intervistati lo considera un driver importante di investimento),
il monitoraggio e la gestione degli incidenti (8%), la sicurezza del mondo applicativo (8%).
Seguono in coda in coda l’Identity & Access Management, la gestione degli utenti e dei
privilegi (nessuno supera il 3%), e scompaiono dalle priorità, anche rispetto alle esigue per©
Clusit 2014 61
Rapporto 2014 sulla Sicurezza ICT in Italia
centuali registrate nelle previsioni dello scorso Rapporto CLUSIT, la sicurezza dei sistemi
SCADA, la network security e la formazione.
Si è invece collocata tra i principali ambiti di investimento anche la sicurezza dei dispositivi
mobili, indicata dall’8% degli intervistati, sebbene con risultati meno rilevanti di quanto era
stato previsto dal nostro campione lo scorso anno.
Si potrebbe dire pertanto che nel 2013 le aziende si sono concentrate in quelle aree ritenute
maggiormente prioritarie per:
• rilevanza legale;
• impatti verso il business;
• attuare buone pratiche di gestione sicura della IT, anche rinunciando ad investire negli
ambiti che già agli inizi dello scorso anno ritenevano di ampio interesse.
Le previsioni per il 2014 sono caratterizzate da una maggiore distribuzione degli orientamenti nei vari settori di investimento proposti agli intervistati, con l’effetto di ridurre il
distacco dei settori “premiati” lo scorso anno. L’incremento degli investimenti nell’area di
governance, risk management e audit, e una più omogenea distribuzione della spesa nei vari
settori tecnologici, sembra esprimere la volontà di implementare la famosa “catena” delle
aree di sicurezza per ridurre il numero di anelli deboli, in particolare andando a toccare
anche quelle tematiche che negli anni precedenti sono state scarsamente presidiate.
Anche la conformità alle normative, pur restando saldamente in testa tra i driver del mercato del 2014, non lo fa di misura come avveniva in passato. Va detto che questo è un risultato positivo, perché consolida la flessione del numero di imprese per le quali gli obiettivi
normativi sono un inutile onere imposto dal regolatore di turno, mentre cresce il numero di
coloro i quali inquadrano tali adeguamenti all’interno di un approccio più ampio di tutela
del valore dell’azienda, rappresentato ad esempio dalle iniziative di governance della sicurezza, risk management e audit.
Se la c.d. mobile security non ha avuto, nel 2013, i risultati che il mercato si attendeva, questo fatto non sembra tuttavia ridurre le attese riposte in questo settore, che è evidentemente
percepito come utile dagli utenti e promettente dai fornitori, tanto da considerarlo il terzo
ambito di maggiore investimento per il 2014 (12%, +4% rispetto al 2013). La previsione è
giustificata dall’ampliarsi delle minacce verso i device mobili ed ai servizi ad essi dedicati,
che i media non hanno mancato di enfatizzare nell’anno passato, nonché dalla sempre più
ampia diffusione del c.d. Bring Your Own Device – BYOD, a causa della quale le aziende
stanno via via riducendo la propria capacità di mantenere sotto controllo i propri asset
informativi.
Si ridimensiona l’orientamento agli investimenti per iniziative di Disaster Recovery/Continuità Operativa, dopo aver superato nel 2013 le aspettative di aziende utenti e fornitori
rilevate nella scorsa edizione del Rapporto CLUSIT; il dato si attesta ad un 9% di tutto
rispetto (-5% rispetto allo scorso anno), passando quindi dal secondo al quarto posto nella
62
Mercato italiano della sicurezza ICT e Mercato del lavoro
nostra “classifica”, tra le iniziative di maggiore interesse. Questo risultato si può leggere
anche alla luce della (ancora) crescente diffusione dei progetti di consolidamento delle infrastrutture e/o di crescita dell’utilizzo di servizi nel cloud da parte delle imprese, interventi
che sosterranno nel 2014 i settori della sicurezza nel cloud e nelle infrastrutture virtualizzate. In questo caso, il risultato positivo si deve anche all’offerta, la quale si è notevolmente
ampliata, e ha raggiungo un buon livello di maturità in termini di professionalità, prodotti
e soluzioni dedicate.
Nell’ambito della sicurezza SCADA si orientano il 5% delle preferenze, dato ancora più
significativo se si considera che il nostro campione, negli anni precedenti, dava scarso rilievo a questa tematica. Analizzando i nostri questionari, emerge come il trend di crescita sia
più ampio presso i fornitori, che evidentemente vedono in quest’area la chiave di accesso a
nuovi clienti o una forma per ampliare il business su quelli consolidati.
La network security e la formazione hanno registrato le peggiori performance dal 2012, ma
tale risultato non sembra intaccare le attese per il 2014: in questi casi più che di sviluppo
dovremmo parlare di una vera e propria “ripresa”, o riconquista, delle quote di investimenti
tradizionalmente destinati a questi ambiti.
Infine, relativamente alle iniziative che ruotano attorno alla gestione dell’identità e dei privilegi degli utenti, nel 2013 queste hanno mantenuto una quota significativa degli orientamenti di spesa delle aziende utenti. Questo è avvenuto nonostante, in questo settore, non
vi siano da qualche tempo novità rilevanti, quanto meno dal punto di vista tecnologico,
rispetto ad esempio a quanto sta avvenendo in alcuni degli altri settori elencati nella nostra
survey. E’ forse con questa motivazione che si spiega un calo delle previsioni nel 2014 (2%,
-4% rispetto al 2013).
©
Clusit 2014 63
Rapporto 2014 sulla Sicurezza ICT in Italia
Focus su iniziative concrete
Per la prima volta, quest’anno abbiamo chiesto alle aziende utenti della sicurezza ICT quali
siano state e quali saranno, nel corso del 2014, le iniziative di maggior rilievo o che li hanno
maggiormente impegnati nell’ambito della sicurezza ICT.
È opportuno precisare che questo dato non è necessariamente collegato alla spesa in sicurezza, ma costituisce a nostro avviso un indice interessante degli orientamenti e delle
priorità delle imprese. A conferma di quanto detto, la compliance, che è la prima voce di
spesa nell’ambito della security nel 2013, è stata in realtà solo al quarto posto (14,7%) tra
le priorità delle aziende utenti.
In testa alle iniziative a maggior rilievo condotte nel 2013 le aziende posizionano infatti al
primo posto, in ex-aequo:
• verifiche dello stato di sicurezza (dai risk assessment ai penetration test);
• attività di implementazione o evoluzione del sistema di gestione della sicurezza;
• rafforzamento delle misure tecniche di sicurezza.
Partendo dall’ultima, potremmo interpretare solo superficialmente questo risultato come
effetto dell’oggettiva complessità degli interventi di natura tecnica rispetto ad altre tipologie
di iniziative in ambito sicurezza. In tal caso, tuttavia, dovremmo riscontrare un analogo
livello di priorità tra i driver di investimento. Quello che possiamo dedurre quindi, anche
alla luce del posizionamento al primo posto di questi interventi nel 2014, è l’esigenza delle
aziende di attuare misure concretamente in grado di apportare benefici in termini di prevenzione e contrasto alle minacce sempre più crescenti alla sicurezza ICT.
Questa impostazione è confermata anche dal dato delle attività di verifica dello stato di
sicurezza, dai risk assessment ai penetration test. Queste attività vanno certamente nella
direzione di determinare quali siano gli interventi dove l’azienda deve concentrare i propri
64
Mercato italiano della sicurezza ICT e Mercato del lavoro
sforzi, siano essi di mantenimento degli standard attuali di sicurezza, o di integrazione/
evoluzione dell’esistente con nuove misure. Questa tendenza probabilmente è anche figlia
di questi tempi di crisi, che impongono alle aziende di essere capaci di scegliere dove posizionare una coperta sempre più corta, e di dare ragione al business delle motivazioni di
tali scelte.
Il terzo ex-aequo in prima posizione, l’implementazione / evoluzione del sistema di gestione
della sicurezza, colpisce in particolare a confronto del già citato quarto posto ottenuto dalla
conformità, che pure domina nella classifica degli ambiti di investimento. Il dato è confortante perché è indice della volontà di rendere strutturale se non strategico, nell’ambito
dell’organizzazione dell’azienda, il processo di sicurezza ICT, indipendentemente dall’obbligo di rispondere a questa o quella normativa.
Le previsioni nel 2014 confermano l’esigenza di concretezza delle aziende, che posizionano
di nuovo al primo posto, se possibile in modo più marcato, le attività di rafforzamento delle
misure tecniche di sicurezza ICT.
Coerentemente con le previsioni di investimento, per quest’anno la priorità delle iniziative
di compliance torna a crescere fino al secondo posto, nell’attesa delle evoluzioni del panorama normativo privacy e per effetto di un insieme di nuove misure introdotte nell’ambito
finance. A pari merito resiste tuttavia l’obiettivo di attuare o evolvere il sistema di gestione
della sicurezza, in coerenza con la tendenza rilevata nel 2013.
Cresce il numero di aziende che considerano tra i propri obiettivi l’attuazione di strategie di
disaster recovery e continuità operativa, da un circa 9% del 2013 al 12,5% nel 2014; questo
risultato è di nuovo in linea con le previsioni di investimento delle imprese.
Si riduce in modo significativo il numero delle aziende che daranno priorità alle attività di
verifica dello stato della sicurezza, in genere le aziende che avevano definito priorità diverse
nel 2013 e che evidentemente vedono nel 2014 l’anno in cui valutare i risultati raggiunti e
definire nuove priorità.
In generale, il 2014 nelle previsioni delle aziende è un anno dove le priorità delle imprese
di distribuiscono in modo leggermente più omogeneo su tutte le tipologie di intervento
proposte. Cresce infatti, rispetto al 2013, il numero di coloro che considerano iniziative di
maggiore rilievo l’acquisizione o il rinnovo di certificazioni e l’implementazione di misure,
processi e procedure di gestione degli incidenti informatici (in entrambi i casi, dal 5,9%
al 7,5%). Il dato delle iniziative di formazione/awareness è invece in lieve calo, tuttavia in
questo caso il dato reale è che un ambito che è praticamente il fanalino di coda degli investimenti possa costituire un obiettivo primario delle aziende. Questo risultato non deve stupire: la formazione può essere svolta, con risultati positivi, anche con investimenti estremamente limitati se comparati con la spesa complessiva ICT, o del solo settore della security!
©
Clusit 2014 65
Rapporto 2014 sulla Sicurezza ICT in Italia
Mercato del lavoro: stabilità o incertezza?
Nel 2013 le aziende utenti dimostrano di avere ancora esigenza di professionalità nel campo
della sicurezza ICT, ma l’incertezza generale, la contrazione della crescita e la forte competizione del mercato, hanno avviato un trend leggermente negativo riguardo alle prospettive
occupazionali presso i fornitori del settore.
In particolare, le aziende utenti ci restituiscono un quadro positivo se comparato al più
ampio scenario nazionale: infatti, la stragrande maggioranza (73,3%) dichiara di aver mantenuto stabile l’occupazione, e per un numero superiore al 25% di esse nel 2013 si è verificato
un aumento degli addetti. E’ altresì positivo il fatto che nessuna azienda abbia registrato una
diminuzione dell’occupazione nel settore della sicurezza ICT.
I fornitori al contrario delineano una situazione meno positiva, nella quale in più del 50%
dei casi si registra una diminuzione di occupati nel settore della security, mentre il resto
del campione è spaccato tra coloro i quali hanno rilevato un aumento dell’occupazione nel
settore, e coloro i quali hanno mantenuto stabile il livello occupazionale.
66
Mercato italiano della sicurezza ICT e Mercato del lavoro
Relativamente al dato previsionale del 2014, contrariamente a quanto avvenuto per altri
indicatori, in questo caso è estremamente difficile analizzare le prospettive di aziende utenti
e fornitori per definire delle tendenze. E’ in qualche modo evidente come il complesso scenario congiunturale renda meno facile fare delle previsioni anche nel breve termine, come
emerge dai dati che abbiamo raccolto.
Le previsioni delle aziende utenti per l’anno corrente sono emblematiche: il dato è nettamente spaccato tra coloro i quali vedono nei prossimi mesi una ripresa della domanda
di professionalità nel settore della sicurezza, e coloro che presagiscono, al contrario, una
contrazione del mercato del lavoro. Solo un’esigua percentuale, il 6,7%, ritiene che non vi
saranno variazioni.
È più marcato l’orientamento dei fornitori per il 2014, che confermano il trend di contrazione dello scorso anno, seppure in modo lieve. Questo a causa sia del numero consistente
di aziende che intravedono una diminuzione della domanda del mercato del lavoro (55%,
stesso dato del 2013), sia perché si riduce il numero di imprese che prevedono per il 2014
un aumento degli addetti nel settore della sicurezza ICT, passando dal 25% del 2013 al 5%
attuale.
©
Clusit 2014 67
Rapporto 2014 sulla Sicurezza ICT in Italia
Tra le figure professionali in ambito sicurezza ICT maggiormente richieste, prevalgono
quelle tecniche (42,5%,), seguite da quelle consulenziali (31%) e da quelle di supporto alla
gestione (26,5%).
Campione
Il campione di indagine è costituito da 438 aziende, di cui 81 fornitori.
68
Mercato italiano della sicurezza ICT e Mercato del lavoro
©
Clusit 2014 69
Rapporto Clusit 2014 – FOCUS ON
Questa sezione del Rapporto 2014 è dedicata a delle aree di particolare rilevanza per la
sicurezza ICT in Italia.
Abbiamo chiesto ad alcuni dei maggiori esperti italiani, nelle singole materie, di approfondire i seguenti temi:
• Smartphone, Tablet e Social Networks in Azienda;
• La strategia europea per la cybersecurity;
• Lo stato della digital forensics in Italia;
• I controlli interni sui processi ICT in ambito aziendale;
• Security By Design;
• La Security vista dal Management;
• Formazione e Consapevolezza, strumenti indispensabili per la Sicurezza delle Informazioni.
Di Smartphone, Tablet e Social Networks si è già molto scritto nei precedenti Rapporti
Clusit, ma qui il fenomeno è analizzato con particolare riguardo all’utilizzo aziendale. La
strategia europea è determinante per la sicurezza di tutti gli stati membri ed anche per
la strategia italiana in tema di cybercrime. Digital forensics, controlli interni, Security by
Design, sono temi di grande rilevanza per la sicurezza delle informazioni in azienda. La
security vista dal management ci aiuta a capire il livello di consapevolezza del management
delle aziende italiane nei confronti della sicurezza delle informazioni e l’evoluzione dei loro
comportamenti. In un paese tra gli ultimi in Europa per livello di informatizzazione e per
utilizzo di servizi informatici e della rete, La Formazione nelle scuole, e a tutti i livelli, è uno
strumento indispensabile per aumentare consapevolezza e competenze.
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 71
Rapporto 2014 sulla Sicurezza ICT in Italia
Smartphone, Tablet e Social Networks in Azienda
a cura di Alessio Pennasilico
Quando in azienda si parla di Social Network si pensa sempre a qualcosa di competenza
dell’IT, da filtrare, o di competenza del Marketing, per promuovere l’immagine ed i prodotti
dell’azienda.
Purtroppo questa visione, è evidente ai più, si dimostra miope oramai da qualche anno. I
social network, infatti, costituiscono un rischio sia da un punto di vista di immagine (brand
reputation) sia da un punto di vista della più classica security (relativamente all’opportunità
di preservare la confidenzialità di alcune informazioni).
I social network, infatti, possono mettere a serio rischio la Business Security di una azienda.
Se poi si coniuga l’aspetto social network, con la sua imprescindibile altra metà del cielo, i
dispositivi mobili, ecco che il rischio si palesa in tutta la sua maestosità.
Non regolamentare, non prevenire, non controllare l’accesso e l’uso di tali strumenti, infatti,
può portare non solo a danneggiare l’immagine dell’aziende nei confronti di un pubblico
molto vasto, ma addirittura al furto di informazioni aziendali riservate.
L’approccio che d’istinto si sarebbe istintivamente portati ad adottare prevederebbe di filtrare integralmente tutti i social network, cercando di limitare il più possibile l’utilizzo di
dispositivi mobili aziendali. Di dispositivi personali, poi, meglio non parlare proprio. Purtroppo questo approccio si dimostra fallimentare sul lungo periodo. Gli utilizzatori, infatti,
riterranno i blocchi ingiusti, cercando continuamente di aggirarli. La diffusione di dispositivi mobili, invece, non potrà essere bloccata nei confronti del top-management. Ci si troverà,
quindi, di fronte a continui tentativi di violazione delle policy aziendali, di cui qualcuno
prima o poi andrà a buon fine, mentre tutte le informazioni aziendali più preziose saranno
in viaggio assieme ai dispositivi delle figure apicali. Questo porterà a scontento degli utenti,
un falso senso di sicurezza da parte di tutti e ad una discreta quantità di minacce non gestite che rischieranno di creare danni seri al business aziendale, a fronte di un produttività
aziendale abbassata dal malcontento.
Per questa ragione si rende necessario comprendere appieno il “fenomeno social” e stabilire
una efficace strategia di gestione ed utilizzo. I dispositivi mobili aziendali devono essere una
risorsa che permetta di lavorare meglio, non soltanto un rischio. Gli strumenti tecnologici
per ottenere questi risultati esistono oramai da tempo sul mercato. Forse quel che manca è
la sensibilità al tema e la voglia di affrontare il problema.
Relativamente ai Social Network grande cura va evidentemente prestata nella loro gestione,
tenendo presenti aspetti che il Marketing da solo non può gestire, e per questo il CSO do72
Focus On
vrebbe essere coinvolto nel processo. Non tutti i contenuti, inoltre, sono dannosi o inutili,
per cui una buona politica di gestione degli accessi non ai portali, ma ai contenuti, andrebbe
stabilita.
Alcuni rischi, infatti, sono facilmente identificabili, come ad esempio la perdita o il furto
del dispositivo. In questo caso ci si espone all’accesso in prima battuta ai dati memorizzati
sul dispositivo. Dimenticando troppo spesso che sul dispositivo stesso sono memorizzate
le credenziali per accedere alla rete aziendale via VPN o via WiFi, permettendo quindi ad
un eventuale malintenzionato, o semplice curioso, di accedere a risorse ben più critiche di
quelle memorizzate sul dispositivo stesso. Si trascura a volte anche la possibilità di usare i
social o la semplice e-mail aziendale configurata sul dispositivo per impersonare il suo possessore, a volte con rischi anche economici rilevanti (si pensi alle truffe che invitano clienti
a bonificare del denaro su un conto diverso da quello aziendale o chiedono ad un interno di
trasferire del denaro, comunicare credenziali o altro).
Ancora estremamente sottovalutato è invece il rischio “infezione”, vale a dire che una applicazione malevola esegua sul device operazioni non volute. Il codice in oggetto può essere
contenuto in una applicazione scaricata dallo store di riferimento, essere una “app” di un
social, provenire da un sito visitato intenzionalmente (ad esempio cliccando su un link contenuto in una pagina web o in una mail) o inconsapevolmente (dai shortlink ai QR Code). Si
è già assistito a campagne basate sull’utilizzo di volantini cartacei che riportano QR Code,
ad esempio, che conducono ad un sito malevolo atto ad infettare una particolare release di
sistema operativo di un particolare telefono. Fino ai fax che contengono link scritti a mano
che si invita a visitare...
Il dispositivo mobile, quindi, va visto oramai come un PC a tutti gli effetti: sia per i rischi
che corre, sia per la sua potenza. Un dispositivo mobile può tranquillamente gestire uno
scan di rete, un attacco di brute force per indovinare le password, essere usato per inviare
spam e phishing. Tutto senza rallentare eccessivamente il dispositivo, quindi senza danneggiare la “user experience” dell’inconsapevole utilizzatore.
Si pensi ad esempio ad un dispositivo infettato durante la navigazione tramite la rete 3G
o LTE, che poi inizi a fare scansioni della rete aziendale una volta collegato al wireless
aziendale. Questo è uno dei tipici rischi ancora troppo sottovalutati, assieme al fatto che
un dispositivo di tal genere possa essere usato come testa di ponte, vale a dire che offra un
accesso remoto in VPN ad un attaccante, mentre è collegato alla rete WiFi aziendale, creando così un canale diretto verso la rete corporate, scavalcando il firewall e tutte le misure
perimetrali adottate.
E non esiste un marchio o un prodotto esente da rischi: abbiamo già assistito a efficaci dimostrazioni di come tutte le release di tutti i vendor per ogni piattaforma siano incappate in
gravi falle di sicurezza o si prestino, con maggiore o minore complessità, ad essere infettate
con applicazioni malevole.
©
Clusit 2014 73
Rapporto 2014 sulla Sicurezza ICT in Italia
Purtroppo il fenomeno “malware per mobile” è ancora così trascurato che la percentuale di
dispositivi mobili protetti con l’apposito prodotto antivirus (indipendentemente da marca
e modello) è ad oggi risibile. Una azienda che oggi voglia stabilire una corretta e coerente
security policy non dovrebbe permettere che questo accada ai suoi dispositivi. Soprattutto
osservando i trend di mercato. Con numeri a volte diversi, tutti i produttori di “antivirus
per piattaforme mobili” riconoscono lo stesso trend: aumento esponenziale degli strumenti
disponibili, delle minacce reali, delle tecniche di attacco, nonché delle intrusioni andate a
buon fine. [Fig. 1]
Immagine tratta dal Trend
Micro Report for Q3, 2012:
Zero-Days, Mobile Malware
and Phishing che evidenzia
come il fenomeno mobile
malware sia in crescita e
molto aggressivo.
Se poi l’analisi si dovesse spostare sui rischi degli incidenti sui social il panorama sarebbe
ancora più preoccupante.
Abbiamo già assistito in passato ad esempi eclatanti dell’uso di piattaforme social per accedere a dati aziendali rilevanti: si pensi all’articolo “Facebook from a Hacker’s perspective” pubblicato da Kevin Finisterre nel 2009 (http://snosoft.blogspot.it/2009/02/facebook-from-hackers-perspective.html). Tramite l’uso intelligente di Facebook si è riusciti ad
ottenere un accesso in VPN alla rete di una azienda, con credenziali dai diritti decisamente
rilevanti.
Si pensi poi a veri e propri incidenti, come quello che ha dovuto gestire Alpitour lo scorso
anno, dove il banale furto di una password ha esposto un brand di primaria rilevanza nazionale a dover gestire un rischio rilevante per i propri clienti, con una possibile perdita
economica tutt’altro che trascurabile. Sono finiti gli anni ‘90, quando se prendevano possesso di un tuo asset si limitavano a farsi beffe delle tue misure di security. Oggi dobbiamo
affrontare criminali veri, interessati esclusivamente al denaro, che non usano la pagina in
questione per dichiarare la propria superiorità tecnica, ma per infettare il maggior numero
di device possibile, cercando di indurre i clienti a cliccare link che portano a siti malevoli.
74
Focus On
Questo tipo di attacco è più pericoloso perché non immediatamente evidente, non immediatamente rilevabile e quindi destinato a raccogliere vittime su tempi più lunghi. D’altro
canto, considerando lo scenario di oggi, si trattasse di vandali (perché la parola terroristi ad
oggi rischia di essere ancora sovradimensionata, ma non troppo) il messaggio non sarebbe
più “ha ha io sono più bravo di voi perché vi ho bucati”, ma sarebbe “Questa azienda è malvagia, perché viola i seguenti dettami morali/etici/religiosi comportandosi in questo modo
non accettabile”. Inutile dire che il secondo tipo di messaggio è decisamente più rilevante
in termini di perdita di reputation per il brand che dovesse subire tale intrusione, soprattutto su piattaforme dove oramai la frequenza di accesso da parte di possibili clienti rischia di
superare quella delle campagne DEM, del blog aziendale o del sito istituzionale.
Il peccato originale sta all’importanza che viene attribuita al “mondo social” che, come già
detto, viene visto esclusivamente come rischio di una perdita di tempo da parte dei collaboratori, quindi da filtrare punto. Manca ancora la consapevolezza che quel che avviene
in “quel mondo” non è “altro rispetto a quel che avviene nel mondo reale”. Non parliamo,
infatti, di due realtà distinte ed indipendenti, ma di uno scenario complesso dove le conseguenze di quel che accade sono pervasive.
Se dieci anni fa qualcuno mi avesse raccontato che con un “tweet” si potevano far perdere
ingenti quantità di denaro forse avrei sorriso. Temo abbiano sorriso meno coloro che hanno
visto sfumare il proprio denaro [Fig. 2] quando dopo avere violato l’account di Associated
Press qualcuno ha postato una notizia dell’ultimo minuto circa un attentato alla casa bianca
[Fig. 3].
©
Clusit 2014 75
Rapporto 2014 sulla Sicurezza ICT in Italia
Per questa ragione diventa necessario prendere coscienza di tutti i rischi che questi strumenti possono creare, al fine di indirizzarli nel modo corretto, con la tecnologia che, per
nostra fortuna, già abbiamo a disposizione.
76
Focus On
La strategia europea per la cybersecurity
a cura di Corrado Giustozzi
In questi ultimi anni, diverse nazioni o organizzazioni internazionali hanno provveduto a
dotarsi di una formale strategia per affrontare in modo sistematico i sempre più importanti
temi della cybersecurity. Mancava tuttavia all’appello l’Unione Europea che, pur avendo
affrontato più volte la problematica nel recente passato, lo aveva sempre fatto con interventi
limitati in ambito e scopo, e quindi più tattici che strategici. Da circa un anno tuttavia questa carenza è stata finalmente colmata: nel febbraio del 2013, infatti, con la promulgazione
del tanto atteso documento di impostazione strategica, l’Europa ha espresso la sua visione
unitaria sul problema della cybersecurity e delineato le linee guida comuni per il contrasto
al cybercrime ed a tutte le altre minacce “cyber”.
È chiaro che sviluppare una strategia comune per un’organizzazione transnazionale così
complessa e peculiare come l’Unione Europea non è un compito facile: occorre infatti sempre tenere presente le specificità di ben ventotto diversi sistemi politici, sociali, giudiziari;
e spesso mediare tra gli altrettanti, e forse ancor più differenti tra loro, approcci culturali
e filosofici di ciascuno degli Stati membri. Tuttavia, come già la Convenzione di Budapest
aveva pionieristicamente sottolineato nel lontano 2001 pur facendo riferimento al solo cybercrime, la transnazionalità delle nuove minacce rende inevitabile il dover raggiungere un
forte consenso ed un’attiva collaborazione fra tutti i sistemi-Paese, se si vogliono ottenere
risultati efficaci nella prevenzione e nel contrasto al fenomeno.
Nel cyberspazio nessuna nazione è un’isola, e dunque solo adottando strategie comuni e
meccanismi di risposta collaborativi e coordinati si possono costruire risposte adeguate ai
rischi globali che minacciano le, purtroppo vulnerabili, infrastrutture di comunicazione e di
gestione delle informazioni sulle quali si basa il funzionamento della moderna società civile.
Proprio in linea con queste considerazioni, dunque, il documento di strategia comune europea non si limita ad indicare le priorità ed individuare le modalità d’intervento comunitarie,
ma fornisce inoltre ai singoli Stati membri indicazioni e linee guida sulle quali allineare
operativamente le proprie strategie nazionali.
La strategia definita dall’Europa, inoltre, non risponde solo ad un’astratta esigenza formale,
e soprattutto non vuole rimanere un mero buon proponimento “sulla carta”: essa pertanto
si incastra in una serie di azioni concrete che, iniziate già da tempo, trovano ora un’adeguata sistematizzazione proprio nell’ambito della strategia stessa. Il documento è stato infatti
pubblicato solo pochi mesi dopo l’attivazione del CERT-EU, avvenuta ufficialmente a fine
2012, ed è stato accompagnato dalla contestuale presentazione di una importante proposta
di direttiva comunitaria per la sicurezza informatica di cui la Commissione raccomanda
la pronta adozione da parte del Consiglio e del Parlamento europei. Solo poche settimane
più tardi, inoltre, il Parlamento ha rinnovato ad Enisa (l’Agenzia europea per la sicurezza
delle reti e delle informazioni) il mandato che era oramai scaduto, dotandola tuttavia nel
©
Clusit 2014 77
Rapporto 2014 sulla Sicurezza ICT in Italia
contempo di un nuovo e più efficace statuto che ne amplia in modo importante missione e
responsabilità: e ciò proprio in vista del ruolo cruciale che essa dovrà giocare nell’implementazione della strategia europea per la cybersecurity.
Pilastri fondanti
Denominata formalmente “An Open, Safe and Secure Cyberspace” (che, nella traduzione
ufficiale in italiano, diventa “Uno spazio informatico aperto e sicuro”), la cyberstrategy europea risponde ad una necessità ben radicata da tempo nella consapevolezza dei responsabili
sia politici che tecnici dell’Unione, ossia che la sicurezza del cyberspazio comunitario è
prerequisito imprescindibile per lo sviluppo dell’Europa. Non a caso il terzo dei sette “Pillars” (pilastri) sui quali si articola l’Agenda Digitale Europea, il documento fondamentale di
indirizzo che declina lo sviluppo tecnologico europeo da qui al 2020 attraverso l’implementazione di 101 specifiche “Actions” (azioni), si chiama proprio “Trust & Security”. Tale pilastro consta di 17 azioni mirate a rafforzare i prerequisiti fondamentali di sicurezza e fiducia
delle infrastrutture tecnologiche e di comunicazione, le quali sono considerate come il più
importante strumento per poter ottenere competitività, sostenibilità e progresso sociale ed
economico in Europa.
L’aspetto che più caratterizza la strategia europea rispetto alle altre omologhe iniziative
proposte da altre nazioni od organizzazioni sovranazionali sta nei principi per così dire più
“filosofici” che ne hanno ispirato l’impostazione, e su cui a sua volta essa si poggia: i quali
quindi, e non poteva essere altrimenti, si richiamano direttamente ai valori fondanti dell’Unione stessa. È interessante quindi esaminarli brevemente.
In primo luogo viene sancito esplicitamente il principio fondamentale secondo cui i valori
fondanti dell’Unione Europea si applicano al mondo digitale tanto quanto a quello fisico;
ciò in particolare comporta, come diretto corollario, che le medesime leggi e norme che
regolano gli altri aspetti della vita quotidiana dei cittadini europei valgono direttamente
anche nel dominio cyber. In altre parole l’UE afferma che non vi sia alcun bisogno di
sviluppare nuove leggi e norme specifiche per il cyberspazio: quelle esistenti sono già più
che sufficienti a descrivere e regolare la vita, le azioni e le attività on-line, basta applicarle
estensivamente al modo giusto.
Il secondo principio fondamentale è quello che traguarda la protezione dei diritti fondamentali, della libertà di espressione, della riservatezza (privacy) degli individui e dei relativi
dati personali. Le libertà e i diritti individuali dei cittadini europei, che sono alla base della
carta politica dell’UE, vengono dunque riflessi direttamente nei principi che la strategia
intende salvaguardare.
Gli altri principi ispiratori riguardano infine le garanzie irrinunciabili per una moderna ed
efficace democrazia partecipata, che si basa anche sulla sicurezza di Internet e delle altre
infrastrutture ICT: accesso per tutti, una multi-stakeholder governance democratica ed
efficiente, e soprattutto la responsabilità condivisa da parte di ciascun attore, istituzionale o
no, per garantire la sicurezza della complessa e variegata società digitale.
78
Focus On
Ambiti di intervento
Il documento di strategia, dicevamo, espone la visione complessiva ed unitaria dell’Unione
europea non solo sul modo migliore di prevenire perturbazioni e attacchi informatici, ma
anche su come organizzare ed articolare la risposta: al fine, come recitava l’annuncio ufficiale, di “promuovere i valori europei di libertà e democrazia e garantire che l’economia digitale
possa svilupparsi in modo sicuro”.
A tal fine sono previste azioni specifiche per rafforzare la resilienza dei sistemi di informazione, ridurre la criminalità informatica e potenziare la politica internazionale dell’UE in
materia di sicurezza e di difesa in tale ambito.
Va notato a tal proposito come la nuova strategia riconosca esplicitamente ed onestamente come alcune delle passate iniziative comunitarie a sostegno della sicurezza siano state
talvolta condotte in modo tattico e poco coordinato, diciamo “a macchia di leopardo”, e
spesso senza un chiaro obiettivo in mente. Trasformando tuttavia in opportunità gli errori
del passato, la nuova strategia mira anche a recuperare e mettere a fattor comune, inserendole sinergicamente in una visione unitaria, tutte le iniziative sinora già realizzate a livello
di strutture o attività.
Per perseguire i propri obiettivi, la cyberstrategia europea articola dunque le sue iniziative
specifiche su cinque priorità fondamentali, da cui discendono direttamente altrettante direttrici basilari d’intervento. Esse specificamente sono mirate a:
• conseguire la resilienza informatica;
• ridurre drasticamente la criminalità informatica;
• sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
• sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
• istituire una coerente politica internazionale del ciberspazio per l’Unione europea e
sostenere i valori fondamentali dell’UE.
Ciascuna di queste cinque direttrici a sua volta raccoglie ed indirizza, declinandole opportunamente, specifiche linee d’azione.
Iniziative specifiche
La principale priorità individuata dal documento di strategia è il conseguimento della cyber
resilience, ossia la capacità delle reti e dei sistemi di comunicazione di resistere ad attacchi
condotti per sabotarli, danneggiarli o impedirne il regolare funzionamento.
In quest’ambito l’Europa si sta muovendo già da diversi anni, e l’iniziativa forse più importante e visibile messa in atto è l’organizzazione periodica di regolari esercitazioni pan-europee nelle quali, simulando svariati realistici scenari di attacco, gli Stati membri e le strutture comunitarie verificano la propria readiness e la capacità di fronteggiare le minacce
via via presentate. Sino ad oggi, grazie al fattivo supporto di Enisa, già si sono tenute due
esercitazioni pan-europee (Cyber Europe 2010 e 2012) ed una esercitazione congiunta
EU-USA (Cyber Atlantic 2011). La strategia raccomanda di proseguire attivamente in questa importante pratica, ed infatti è già in corso l’organizzazione della prossima Cyber Europe
©
Clusit 2014 79
Rapporto 2014 sulla Sicurezza ICT in Italia
2014 alla quale per la prima volta parteciperanno anche i Paesi europei aderenti all’EFTA
ma non alla UE. In sottordine alle esercitazioni pan-europee la strategia prevede inoltre che
anche gli Stati membri debbano organizzare periodiche esercitazioni nazionali per verificare
la “tenuta” agli attacchi delle proprie infrastrutture critiche locali.
Altre due iniziative più tecniche in ambito a questo obiettivo sono il lancio di un progetto
pilota per la lotta alle botnet (soprattutto quelle localizzate in Europa), e lo studio di fattibilità per un CERT europeo dedicato specificamente alla sicurezza dei sistemi automatici per
il controllo industriale (SCADA e simili).
Sul piano legislativo invece la Commissione raccomanda al Parlamento di approvare rapidamente la Direttiva sull’alto livello comune di sicurezza delle reti e delle informazioni
(NIS Directive) che, una volta in vigore, obbligherebbe gli Stati membri ad adottare misure
tecniche ed organizzative comuni e condivise per innalzare il livello di sicurezza delle infrastrutture nazionali, e migliorare altresì la cooperazione internazionale a livello di preparedness e di information sharing.
Ulteriori iniziative in ambito riguardano l’innalzamento della consapevolezza delle istituzioni e dei cittadini sui temi della cybersecurity, ad esempio mediante l’istituzione del “mese
della cybersecurity” a livello europeo e dei singoli Stati membri, di specifici “campionati di
cybersecurity” per gli studenti universitari, dell’insegnamento della cybersecurity nei licei
e nelle pubbliche amministrazioni, e anche di un progetto di certificazione volontaria delle
competenze di sicurezza informatica progettato sulla falsariga della “Patente europea del
computer”.
Per quanto riguarda la seconda priorità, ovvero la lotta al cybercrime, oltre a raccomandare
a tutti gli Stati membri che non l’abbiano ancora fatto di ratificare al più presto la Convenzione di Budapest, la strategia prevede iniziative soprattutto sul piano dell’armonizzazione
a livello europeo delle singole legislazioni nazionali e dei relativi strumenti di contrasto. In
particolare il Centro Europeo per il Cybercrime (EC3), recentemente fondato all’interno
di Europol, collaborerà con Europol ed Eurojust per supportare gli Stati membri in tale
allineamento sia sul piano normativo che su quello tecnico. Inoltre il CEPOL (l’Accademia
Europea di Polizia) svilupperà specifici piani di formazione per fornire a tutte le forze di
polizia nazionali le adeguate conoscenze e competenze per fronteggiare al meglio la lotta al
crimine informatico.
La terza priorità, lo sviluppo di una politica di difesa comune, prevede iniziative specifiche
di cyberdefence da svilupparsi nell’ambito del framework CSDP (Common Security and
Defence Policy) già attivo per le necessità di difesa tradizionale. Ciò prevede una maggiore
cooperazione specifica tra strutture civili e militari dell’EU, e ovviamente anche un dialogo
operativo con la NATO e gli altri partner internazionali del mondo della difesa.
La quarta priorità indirizza la necessità per l’Europa di sviluppare competenze industriali
autonome ed indipendenti in ambito cybersecurity, e conseguentemente l’obiettivo di promuovere un mercato unico europeo per i prodotti e i servizi di cybersecurity. A tale riguardo
sono dedicate iniziative che vanno dallo sviluppo di linee guida e best practice europee da
adottarsi per indirizzare la sicurezza nei settori pubblico e privato, all’introduzione di in80
Focus On
centivi per favorire l’adozione nelle aziende di strumenti e soluzioni di sicurezza aggiornati
ed efficaci. Ma oltre a ciò sono previste iniziative specifiche per rafforzare la competitività
delle aziende europee nel settore dei prodotti e servizi di sicurezza, in particolare favorendo
la Ricerca e Sviluppo e l’innovazione industriale in tale segmento di mercato; il supporto a
tali iniziative sarà fornito mediante il coordinamento con i progetti finanziati già previsti dal
vasto programma Horizon 2020.
Infine la quinta priorità indirizza le esigenze di preservare un cyberspazio libero, aperto e
sicuro, nel quale valgano i principi fondanti europei di dignità, libertà, democrazia, uguaglianza, così come le norme di legge ed il rispetto dei diritti fondamentali. Questo obiettivo
più “alto” e filosofico verrà perseguito mediante iniziative di natura essenzialmente politica,
indirizzate allo sviluppo di policy comuni e norme di comportamento nel cyberspazio, anche
finalizzate alla responsabilizzazione di tutti gli stakeholder che insistono su di esso.
Ruoli e responsabilità
Naturalmente il documento prende anche in considerazione il complesso intreccio di ruoli
e responsabilità dei vari attori coinvolti nell’attuazione della strategia: un aspetto reso critico
dalla peculiare natura dell’Unione, che non è un unico soggetto politico ed amministrativo
ma una struttura di governo partecipata la quale mantiene tuttavia intatte le sovranità nazionali dei singoli Stati membri.
La strategia tiene dunque conto di tale situazione, riconoscendo esplicitamente l’esistenza
di due livelli di responsabilità cui corrispondono altrettanti ambiti d’azione: quello nazionale, situato al livello interno dei singoli Stati membri, e quello sovranazionale, situato a livello
comunitario. E mentre alcune iniziative previste dalla strategia sono naturalmente idonee
ad essere portate avanti a livello comunitario, altre per la loro specifica natura non possono
che essere demandate ai singoli livelli nazionali.
Così i tre pilasti operativi “verticali” sui cui ricade l’attuazione operativa complessiva della
strategia, ossia le autorità ed istituzioni competenti per la sicurezza informatica, le agenzie
di law enforcement e le agenzie per la Difesa militare, dovranno a loro volta declinare ordinatamente le proprie attività sui due distinti livelli orizzontali, quello comunitario e quello nazionale, secondo una suddivisione di compiti e responsabilità organizzata a matrice secondo
lo schema di Figura 1.
©
Clusit 2014 81
Rapporto 2014 sulla Sicurezza ICT in Italia
Figura 1: la complessa articolazione europea prevede una ripartizione a matrice di ruoli e
responsabilità fra i diversi attori (pilastri verticali), i quali dovranno declinare la propria
attività sui livelli (orizzontali) nazionale e comunitario. (Fonte: “Cybersecurity Strategy of the
European Union”)
In esso sono indicate le istituzioni ed organizzazioni direttamente responsabili delle iniziative, ed i flussi di comunicazioni tra di esse intercorrenti; a latere va sottolineata la presenza
dell’industria privata e del mondo accademico, due soggetti non strettamente istituzionali
ma evidentemente importantissimi, i quali partecipano attivamente alle iniziative ad entrambi i livelli.
Conclusione
L’Europa è giunta a definire una propria strategia per la sicurezza del cyberspazio dopo
molti altri Grandi del pianeta, ma ha finalmente colmato il divario e lo ha fatto in modo
efficace. Essa infatti ha consolidato una visione molto pragmatica del problema, orientata
soprattutto alla tutela, in linea coi principi fondanti di libertà e democrazia, del cyberspazio
come presupposto tecnologico irrinunciabile per lo sviluppo sociale, politico ed economico
dell’Unione; individuando a tal fine obiettivi concreti e soprattutto attuabili, ed iniziative
chiare e operative per conseguirli.
Certo il percorso futuro non è facile: l’elemento caratterizzante dell’Unione, ossia la straordinaria diversità culturale tra i suoi Stati membri, è anche il vincolo maggiore da superare
quando si tratta di definire politiche comuni. È infatti necessario armonizzare tra le molte e
differenti visioni, e mettere a fattor comune le situazioni già consolidate; cosa che richiede
tempo e sforzi molto maggiori di quelli richiesti a singoli organismi nazionali, dove è evidentemente più facile ad un governo centrale imporre un determinato percorso.
È molto rilevante, a tale riguardo, il forte appello che la strategia rivolge alla collaborazione
tra pubblico e privato, la quale viene vista come uno strumento cruciale per il consegui82
Focus On
mento degli obiettivi individuati. La volontà della Commissione, che non è neanche tanto
nascosta tra le righe, è quella di sviluppare un comparto industriale comunitario che, col
supporto della ricerca accademica opportunamente incanalata e potenziata, possa essere
in grado sia di svincolare il mercato europeo dall’attuale dipendenza commerciale nei confronti di Paesi extraeuropei per quanto riguarda servizi e prodotti di cybersecurity, sia di
supportare le istituzioni comunitarie nel conseguimento degli obiettivi di protezione e cyber
resilience individuati dalla strategia.
Alcuni tasselli operativi cruciali, quali la costituzione della rete europea di CERT nazionali
e del CERT europeo, o l’effettuazione di esercitazioni allargate di preparedness e readiness,
sono già efficacemente in atto. Altre iniziative specifiche sono già partite, molte delle quali
veicolate sotto il grande ombrello del programma Horizon 2020. Ma il grosso dell’attuazione
rimane ancora da fare, ed è quello che deve partire dal basso: tutti gli Stati membri dovranno infatti dare attuazione convinta ed efficace alle indicazioni della strategia declinandole
adeguatamente al proprio interno, con la collaborazione delle proprie istituzioni specificamente dedicate alla cybersecurity nazionale, e coordinandosi con le istituzioni europee e
degli altri Stati membri.
©
Clusit 2014 83
Rapporto 2014 sulla Sicurezza ICT in Italia
Lo stato della digital forensics in Italia:
accademia, Forze dell’Ordine, magistratura e avvocatura,
esperti e aziende
A cura di Giovanni Ziccardi
Premessa
Lo “stato” della digital forensics in Italia si è, negli ultimi anni, evoluto sensibilmente e,
fortunatamente, in maniera abbastanza omogenea.
Sin dagli anni Duemila, la scienza che studia la corretta identificazione, acquisizione, produzione e, in senso lato, “resistenza” in giudizio della fonte di prova digitale ha vantato anche in Italia uno sviluppo lineare che ha riguardato tutti i settori coinvolti, nessuno escluso:
il mondo dell’accademia (che si occupa dello studio degli aspetti teorici e procedurali di
tali argomenti), le Forze dell’Ordine (tramite una riflessione e una attività di formazione
avente ad oggetto le migliori modalità pratiche d’investigazione in una società sempre più
connessa e complessa), la magistratura e l’avvocatura (tramite l’analisi di problematiche
prettamente giuridiche e correlate al lato pratico/processuale) e il mondo dei consulenti,
dei tecnici, degli esperti, delle associazioni e delle aziende che producono software ed
hardware per la digital forensics (soggetti, questi, giustamente più votati a un approccio alla
materia tecnico e d’immediata utilità, compresa la formazione nell’utilizzo di tali strumenti,
sovente complessi).
Ciò ha portato a uno sviluppo equilibrato del settore, cosa molto utile e apprezzabile in un
ambito che viene a toccare, come è noto, i diritti fondamentali dell’individuo.
L’accademia
Il mondo dell’accademia ha cercato di portare avanti la didattica e la formazione su questi
temi sin dai primi anni di studio nelle aulee universitarie e, soprattutto, in tutte le Facoltà,
sia giuridiche (quindi con insegnamenti volti al futuro avvocato, magistrato o giurista d’impresa) sia nelle Facoltà scientifiche, soprattutto informatica e ingegneria, con insegnamenti
sovente collegati alle tematiche della sicurezza.
Gli studi accademici, dopo aver definito la digital forensics, hanno cercato di individuare
i lati originali della materia all’interno del grande alveo della sicurezza informatica e della
scienza informatica in generale.
Sono stati organizzati corsi di perfezionamento post-laurea che permettono, nei programmi
attuali, di meglio analizzare singoli aspetti della forensics. Vi era, infatti, fino a qualche
anno fa la possibilità di formarsi su una forensics per così dire “generalista”, ossia che si
occupasse di tutto.
Oggi, al contrario, è richiesta maggiore specializzazione, e intere aree della forensics, quali
ad esempio l’analisi di dispositivi mobili, o di grandi sistemi di server aziendali, o del cloud,
84
Focus On
si stanno pian piano guadagnando un’ indipendenza di analisi (una sorta di “autonomia”),
dal momento che presentano aspetti del tutto originali e differenti dagli altri comparti, ed è
per questo che i corsi di perfezionamento post-laurea mirano a sviscerare temi più specifici
quali l’antiforensics, la mobile forensics, il cloud forensics, e così via.
Si noti anche che vi è stata un’estensione, sempre nell’accademia, da un’analisi della forensics come tema legato a doppio filo alle indagini penali e, in generale, alla criminalità
informatica, al codice penale e al codice di procedura penale, per passare a una forensics
nel diritto di famiglia, nel diritto commerciale, nel diritto del lavoro e nel diritto tributario, dove i dati sono sempre più trattati digitalmente (si pensi a separazioni e divorzi) in un
quadro giuridico però assai differente. Lo spostamento della forensics anche in questo settore comporta l’attenzione necessaria ad altri aspetti del diritto che non sono più soltanto le
regole di procedura: penso alla legge sulla privacy e alla tutela dei diritti della personalità,
al segreto della corrispondenza, e così via.
L’accademia collabora da qualche anno con associazioni di volontari che, anche in Italia,
mantengono viva l’attenzione e la formazione su questi temi.
Le Forze dell’Ordine
Da alcuni decenni anche il mondo delle Forze dell’Ordine, coloro che si trovano “sul campo” a investigare, ha manifestato un interesse concreto al tema.
Rispetto all’approccio accademico, l’attenzione primaria delle Forze dell’Ordine è nei confronti di metodi di investigazione, modelli di indagine e di analisi o best practices.
Questo perché, nella pratica, ciò che serve loro sono le procedure da seguire che consentano al contempo di cristallizzare la fonte di prova in modalità corrette non contestabili anche
in nuovi “ambienti” quali, ad esempio, i social network, i sistemi di messaggistica istantanea
e le chat, e che siano rispettose delle regole di procedura.
Accanto a questo approccio, vi è un’attenzione ai nuovi metodi investigativi richiesti da un
nuovo ambiente, quello telematico, e alle competenze domandate, soprattutto in un’ottica
di formazione specifica di agenti con forti conoscenze informatiche. Il problema più grave,
in questo caso, è quello del tempo, o meglio del tempo/uomo necessario per le investigazioni dei dispositivi in un’era di grandi masse di dati e di migliaia di messaggi, immagini,
e-mail e conversazioni. In sostanza: una analisi accurata di migliaia di e-mail (e oggi ogni
cittadino ha sul suo computer o telefono migliaia di e-mail) richiede tempo, ma il personale
che opera è sempre lo stesso e in alcuni casi non riesce a gestire con cura più di un certo
numero di indagini all’anno. Ciò prospetta un utilizzo intenso di strumenti automatizzati
(ad esempio software che estraggono e selezionano certi tipi di immagini) che possono creare successivamente non pochi problemi processuali.
La ricerca di un metodo è stata facilitata, seppur in senso molto lato, dalle modifiche introdotte dalla Legge n. 48 del 2008, di ratifica della Convenzione sulla criminalità informatica
di Budapest, che ha inserito nel codice penale e di procedura penale alcune regole minime,
©
Clusit 2014 85
Rapporto 2014 sulla Sicurezza ICT in Italia
soprattutto relative alla inalterabilità della fonte di prova, alla ripetibilità delle operazioni e
alla copia-clone dei dati originali, che hanno per la prima volta formalizzato un minimo di
metodo, anche a garanzia dell’indagato.
Magistrati e avvocati
Il mondo del diritto, composto da magistrati e avvocati, è anch’esso interessato particolarmente al settore, seppur con un approccio, e con un taglio, leggermente differenti.
La magistratura, soprattutto quella deputata a coordinare e svolgere indagini, è molto interessata, ultimamente, alla legittimità o meno di utilizzo di strumenti investigativi invasivi
quali i trojan o microspie da installare nei computer da tenere sotto sorveglianza, suscitando non poche polemiche in tal senso. Negli ultimi anni, poi, molti magistrati si sono avvicinati alla computer forensics studiando il nuovo quadro posto dalla criminalità informatica,
soprattutto con riferimento alle frodi (anche internazionali), al riciclaggio del denaro, a
nuovi ambienti quali quelli dei social network e all’annoso problema delle intercettazioni
telematiche (con attenzione anche a sistemi quali Skype).
Gli avvocati, dal canto loro, sono sempre stati attenti a una forensics che fosse anche garanzia dei diritti dell’indagato, soprattutto in tema di ripetibilità delle azioni d’indagine
compiute, e al rigore metodologico con cui vengono effettuate le operazioni. I casi stanno
aumentando, e si sta formando una giurisprudenza abbastanza copiosa che consente di
individuare alcune linee interpretative precise.
Anche per queste due categorie l’obbligo di formazione sta diventando impellente, non essendo più possibile delegare completamente agli esperti la comprensione dei temi indicati.
Consulenti e aziende
Gli esperti, infine, sono anch’essi molto vivaci nel settore, soprattutto in due direzioni: i)
la presenza nel contesto processuale, con consulenze e testimonianze, e ii) lo sviluppo di
strumenti software e hardware che possano agevolare determinate procedure.
Circa il primo punto, c’è stato un forte aumento di richieste di competenze tecniche nell’economia processuale sia civile sia penale, dal momento che il diritto sta diventando tutto
informatico. Non essendoci un albo di esperti di computer forensics, la formazione viene
svolta o tramite percorsi universitari tradizionali, o con alcune certificazioni mirate a dare
una competenza specifica nel settore.
Al tecnico, sovente, non vengono domandate unicamente consulenze teoriche ma anche
vere e proprie azioni sui dati o sui dispositivi, tanto da rendere necessario l’allestimento di
un piccolo (ma spesso costoso) laboratorio.
Sul secondo punto, è vivace sia la vendita di strumenti di computer forensics software e
hardware con relativi corsi di aggiornamento e di utilizzo, sia lo sviluppo di distribuzioni
open source per il primo intervento o per la gestione di una analisi forense.
Si è assistito a un leggero calo di prezzi dell’hardware, che fino a qualche anno fa era con86
Focus On
siderato “materiale da iniziati”, e a una certa standardizzazione delle procedure utilizzate.
Comune è l’utilizzo di diversi apparati o software per raggiungere uno stesso obiettivo (ad
esempio la copia di un disco) al fine di evitare, in udienza, contestazioni sul metodo utilizzato, o per “rafforzare” l’operazione.
Conclusioni
In un quadro simile e così dinamico, che vede tanti “attori” partecipare, il futuro è sempre
incerto, ma alcuni punti sono abbastanza prevedibili.
Il primo è l’aumento esponenziale di dati che sta avvenendo, giorno dopo giorno. Milioni di
messaggi e di mail scambiate in tutto il mondo, dispositivi portatili che hanno la capienza
di memoria di un vero e proprio computer, conversazioni ininterrotte che avvengono ogni
minuto. La quantità dei dati sarà secondo me il primo problema per le investigazioni, e ciò
comporterà la necessità di una selezione e di un mutamento nell’approccio al trattamento
dei dati.
Il secondo punto “caldo” è il cloud o, meglio, la delocalizzazione di servizi, risorse e informazioni. Il cloud richiederà un ripensamento dell’azione dell’investigatore che “inseguirà” i
dati e nuovi rapporti con le società che li detengono.
Infine gran parte della digital forensics si è già spostata dai computer ai telefonini intelligenti (e tablet) e al mondo del social network, anche in questo caso richiedendo all’interprete
e al pratico nuove modalità di approccio e di analisi.
©
Clusit 2014 87
Rapporto 2014 sulla Sicurezza ICT in Italia
I controlli interni sui processi ICT in ambito aziendale
A cura di Stefano Niccolini e Claudio Telmon
All’interno di un’azienda di dimensioni rilevanti le politiche aziendali sono importanti per
comunicare ai collaboratori lo stile imprenditoriale con l’obiettivo di indirizzare motivazione
e comportamenti secondo uno stile preciso, caratteristico dell’impresa. Si tratta di indirizzare il buon senso individuale, bene prezioso nelle situazioni eccezionali in cui si devono
gestire rischi e non sono precisate procedure o regole.
Il vantaggio della diffusione delle politiche aziendali consiste nella riduzione del rischio di
comportamenti “non in linea” in situazioni anomale.
Dalle politiche, in particolare quelle sui rischi aziendali, dovrebbero trarre spunto i regolamenti interni, in primis quelli che descrivono i processi decisionali.
I Controlli Interni, esterni alle strutture produttive, dovrebbero valutare l’osservanza e
l’applicazione da parte di queste alle indicazioni dell’impresa, ai fini dell’ottenimento degli
obiettivi di business in un quadro di ottimizzazione delle risorse e minimizzazione dei rischi.
Particolarmente in realtà complesse, può diventare molto difficile la costruzione di una valutazione affidabile sul tematiche come l’ottimizzazione delle risorse e adeguato trattamento
dei rischi.
Le fasi chiave di un buon sistema dei controlli interni possono essere quindi i seguenti.
Definizione delle politiche commerciali e del rischio: è un documento che descrive l’orientamento al business dell’azienda e l’approccio al rischio. Ai principi ivi esposti si riferiscono tutti gli altri documenti che descrivono le attività e i processi aziendali. A quei principi deve ispirarsi chi opera in azienda nei casi in cui si debba operare in assenza di regole
specifiche. In sintesi, le politiche sono “il buon senso secondo la nostra azienda”.
Attribuzione delle responsabilità: è il primo dei processi di controllo del rischio. Questa
fase produce i regolamenti, con l’avviso di escludere da questi la descrizione del come si
fa, privilegiando la descrizione degli obiettivi. Nell’attribuzione delle responsabilità si deve
considerare anche l’interazione tra i diversi portatori di responsabilità, in modo da chiarire
i processi decisionali. Tale azione consente di rilevare i cosiddetti conflitti di interesse e di
prevenire situazioni in cui un unico soggetto possa ottenere libertà di azione non coerenti
con lo spirito imprenditoriale o in contrasto con norme o leggi vigenti.
Definizione dei processi: il destinatario di una responsabilità che implica lo svolgimento di
attività dovrebbe rendere conto sulle modalità di assolvimento di quanto conferito. Questo
aspetto non sempre viene pienamente realizzato e si può presentare il caso di responsabili
di aree di business che operano in base a procedure definite esternamente all’area. Tale
88
Focus On
situazione però tende a svuotare il mandato imprenditoriale all’area operativa, spostando la
responsabilità in merito all’efficacia, efficienza e forse anche conformità di quanto svolto
esternamente ad essa. Viceversa l’attribuzione all’area operativa dell’onere di definire processi e controlli interni innalza lo spirito imprenditoriale anche se ciò richiede una specifica
cautela da parte del vertice aziendale: il sistema dei controlli interni.
Attuazione di un Sistema di Controlli Interni: il Sistema dei Controlli Interni costituisce
la fase di chiusura del processo di attribuzione delle deleghe di responsabilità. Il processo infatti dovrebbe fornire indicazioni al vertice aziendale sulla capacità della struttura di
operare come previsto, sulla sua potenzialità evolutiva e, in definitiva, sulla capacità di creare valore secondo un approccio fedele al mandato imprenditoriale definito nelle politiche
dell’azienda.
Il quadro sopra esposto, necessariamente riassunto e reso essenziale, non include esplicitamente il fattore informatico perché è ovvio e sottinteso. Ormai l’informatica è nell’azienda,
a prescindere da quanto i collaboratori e i dipendenti portano con sé, nei dispositivi mobili
personali. Oltretutto, l’informatica permette la registrazione di fatti attinenti al business da
cui ricavare informazioni sulla capacità dell’azienda di gestire il rischio in ogni sua forma:
economico / finanziario, reputazionale, legale, operativo, ecc. Queste registrazioni sono rilevanti sia dal punto di vista dei controlli interni che della sicurezza.
Tuttavia, un aspetto problematico dell’informatica è il rischio associato al suo utilizzo. Le
tecnologie emergenti offrono sempre maggiori possibilità in termini di efficienza dei sistemi
di governo e gestione dell’impresa. Cloud, Big Data, Mobile Devices sono tecnologie o
prodotti pervasivi e le imprese si trovano a doversi interrogare sull’opportunità di cavalcare
la tigre. Ma con quali rischi? Sicurezza e Conformità sono i punti di attenzione attualmente
più gettonati.
La valutazione dell’esposizione del business ai rischi è di competenza dei proprietari del business. Business Owner implica Risk Owner, anche per i rischi IT. Tuttavia la garanzia di una
valutazione equilibrata e corretta può essere opportunamente considerata da un soggetto
esterno. Si parlerà quindi di Assurance, attività propria dell’Internal Auditing, in particolare
dell’ICT Auditing.
Tale funzione è opportuna in realtà medio grandi ed è resa obbligatoria, ad esempio, nel
mondo bancario italiano dalle Disposizioni di Vigilanza di Banca d’Italia.
Per essere efficace la funzione di Audit deve essere indipendente dalle strutture che vengono sottoposte a valutazione. Tale caratteristica è stata storicamente sempre ben considerata.
Per le realtà più piccole, che non hanno le risorse per realizzare un sistema di controlli interni strutturato, può essere opportuno appoggiarsi a competenze esterne che siano in grado di
valutare la capacità del sistema informativo di supportare l’azienda nel raggiungimento dei
suoi obiettivi. Per fare questo, dovrà disporre non solo di competenze tecniche informati©
Clusit 2014 89
Rapporto 2014 sulla Sicurezza ICT in Italia
che, ma anche della capacità di comprendere le effettive esigenze del business dell’azienda,
e dovrà comunque avere la dovuta indipendenza da chi, internamente all’azienda o fornitore
esterno, gestisce effettivamente il sistema informativo.
Nell’ambito dell’audit ICT, la sicurezza riveste un interesse particolare. Dato che l’audit
è per sua natura focalizzato principalmente sui processi più critici per l’organizzazione, è
chiaro che la possibilità di questi processi di svolgersi correttamente è legata fra l’altro alla
garanzia che non siano possibili attività illegittime che possano danneggiare i processi stessi. In effetti, l’ambito della sicurezza è quello in cui alcune forme di audit sono tutto sommato note e relativamente comuni anche fuori dagli ambiti regolamentati come le banche.
Si tratta dei cosiddetti vulnerability assessment e penetration test (VA/PT), che rappresentano
un’attività molto circoscritta di audit, ma che rendono l’idea di cosa possa essere un audit di
sicurezza: un’attività svolta da una terza parte indipendente (anche quando si tratti di una
struttura interna). Questa, disponendo di competenze specifiche nell’ambito della sicurezza
IT ha lo scopo di verificare se la gestione del sistema informativo sia adeguata, quali siano i
punti di miglioramento, e darne visibilità ai vertici dell’organizzazione.
Nel caso del VA/PT però, si tratta di un’attività che si limita a fotografare lo stato corrente di
alcuni aspetti limitati della sicurezza di un sistema informativo. I risultati che si ottengono,
salvo eccezioni, devono essere inquadrati in un più ampio contesto. Un audit ICT affronta,
in generale, un insieme più ampio di problematiche, ad esempio la distribuzione di ruoli e
responsabilità, le tematiche contrattuali, la capacità di gestire gli eventuali incidenti, la conformità alle normative (fra le quali naturalmente è particolarmente significativa quella sul
trattamento dei dati personali), lo sviluppo e l’acquisizione di codice sicuro, e molti altri. In
definitiva si tratta di esprimere una valutazione del rischio di disallineamento tra soluzioni
ICT aziendali e necessità di business. L’audit sulla sicurezza ICT, attraverso un programma
di verifiche, anche “sul pezzo” (VA/PT), esprime la valutazione precedentemente citata sulla
distanza tra le aspettative di protezione dell’azienda e i presidi effettivamente in essere.
La competenza di chi, interno o esterno, svolge l’attività di audit, è fondamentale.I danni
che possono essere arrecati ad un’azienda da relazioni di ICT Audit con valutazioni inesatte
sono rilevanti. Le competenze di un professionista sono in generale difficilmente comprovabili, e in questo le associazioni hanno un ruolo importante. Nel campo dell’ICT Audit ISACA, che associa oltre 100.000 professionisti ICT in tutto il mondo, si propone come entità
certificatrice per i professionisti che svolgono attività di ICT Audit. La certificazione CISA
è accordata a professionisti che oltre ad una certa anzianità nel campo dell’Audit, superano
un esame scritto di rilevante difficoltà. L’esame verte sulla conoscenza dei sistemi informativi, non soltanto sotto profili tecnici o tecnologici, ma anche sotto il profilo della gestione
manageriale. Ad AIEA ad esempio, che è anche capitolo di Milano di ISACA, aderiscono
attualmente 484 soci con certificazione CISA.
90
Focus On
Quattro sono le linee di attività in ambito ICT che ISACA promuove: la Governance, il
Gestione dei Rischi, la Sicurezza e l’Audit. Per ognuna di esse l’associazione pubblica regolarmente documentazione che consente di rimanere al passo con l’evoluzione tecnologica.
A supporto di chi si deve occupare di governare e gestire i sistemi informativi spicca COBIT
5. Si tratta di un framework che aiuta a coniugare le esigenze di business di un’impresa con
quelle informatiche, individuando diversi fattori abilitanti: non solo processi ma anche le
caratteristiche di ambiente come le persone, la cultura, le competenze.
ISACA eroga tramite i capitoli nazionali corsi di formazione per quei professionisti che
intendono ottenere certificazioni di tipo professionale in ciascuno dei quattro ambiti citati,
Governance, Gestione dei Rischi, Sicurezza e Audit.
Concludendo, se il ricorso ai sistemi informativi è soluzione che a sua volta apre un ventaglio di problemi, i controlli interni, opportunamente progettati ed eseguiti, consentono di
raggiungere con ragionevole certezza gli obiettivi di business.
I controlli, e fra questi anche quelli relativi alla sicurezza, devono possibilmente avere carattere preventivo ma sono disponibili metodologie e profili professionali in grado di riportare
in linguaggio comprensibile anche a non informatici fatti e problematiche di taglio anche
specialistico.
La professionalità dei soggetti che si occupano di ICT è essere avvalorata dalle certificazioni
internazionali che attestano la competenza di chi l’ha conseguita.
©
Clusit 2014 91
Rapporto 2014 sulla Sicurezza ICT in Italia
Security By Design
A cura di Walter Ginevri e Alessandro Vallega
Tra i professionisti della Sicurezza, e perfino a livello delle istituzioni Europee, si parla spesso di Security by Design, ovvero dell’approccio secondo il quale è bene progettare i prodotti
e i servizi informatici pensando alla sicurezza fin dal principio. Secondo gli esperti, si tratta
dell’unico modo per contrastare efficacemente le minacce e le frodi che hanno come bersaglio i sistemi informativi e che sono ormai diventate un fenomeno diffuso di criminalità.
Su questo tema, Clusit ha dato vita ad una collaborazione con la principale associazione
internazionale di Project Management, ovvero il Project Management Institute (PMI) e,
più precisamente, con i suoi rappresentanti del Northern Italy Chapter (PMI-NIC).
Tutto ciò ha permesso di portare a compimento un’indagine rivolta ad una base associativa
composta da oltre 1600 project manager del settore privato e pubblico.
Accettando il rischio di vanificare l’effetto sorpresa, possiamo anticipare che le risposte ci
inducono ad un certo ottimismo (Fig. 1), anche se, come vedremo nel seguito, “non è tutto
oro quel che luccica”. Infatti a fronte di un’azienda che impone un approccio di Security By
Design è ragionevole pensare che tale “design” si attui ottemperando ai requisiti tramite un
approccio comune e condiviso da molteplici progetti.
Fig 1: Tipologia di soluzioni di sicurezza
Descrizione del campione
La ricerca è stata condotta nel mese di gennaio 2014 sugli associati PMI-NIC. Vi hanno
risposto 283 persone, caratterizzati dal possedere la certificazione professionale di Project
92
Focus On
Management Professional. Essi corrispondono a circa un quinto degli associati e vanno
rapportati ai 4.500 project manager totali certificati in Italia. Sono quindi un ottimo campione di analisi.
I project manager che hanno risposto al questionario operano su aziende grandi e piccole
(per addetti e per fatturato) di ogni settore industriale italiano come riportato nelle figure
successive.
Fig 2: Descrizione del campione – Rapporto Clusit 2014 sulla Sicurezza ICT in Italia
Risultanze
Prima di giungere alle conclusioni e ai commenti finali, l’analisi realizzata ci permette di
fare diverse considerazioni:
Tutti gli intervistati ritengono che “la presenza di requisiti non funzionali attinenti la sicurezza ICT”, ovvero la richiesta di sicurezza nei progetti, sia aumentata (69%) o almeno
rimasta invariata (30%) negli ultimi due anni. Quasi nessuno degli intervistati ne riscontra
una diminuzione. Questo risultato non costituisce alcuna sorpresa e conferma quello che
da più parti già si conosce; infatti i Project Manager e gli esperti di sicurezza, sono testimoni di sempre maggiori richieste dovute all’aumentata sensibilità aziendale ai temi della
sicurezza per via degli incidenti di sicurezza molto pubblicizzati sui media e dalle richieste
di aderenza a leggi e regolamenti (compliance).
©
Clusit 2014 93
Rapporto 2014 sulla Sicurezza ICT in Italia
Fig 3: Sensibilità al tema della sicurezza
Il campione, a fronte di una domanda sulle motivazioni aziendali rispetto all’adozione di
misure di sicurezza, indica in maniera assolutamente paritetica il rischio (47,7%) e la compliance (48%), ovvero si investe in sicurezza per “l’esigenza di assicurare la compliance
rispetto a leggi e normative di sicurezza” e per “l’esigenza di ridurre il rischio di business
dovuto a perdita di dati, frodi etc.”. La stessa proporzione si riscontra anche separando le
grandi aziende dalle piccole e medie, mentre le aziende bancarie sono leggermente maggiormente sensibili al rischio e quelle in ambito telecomunicazione alla compliance. Sempre ininfluente la percentuale di quelli che ritengono si faccia per “l’esigenza di ridurre il
rischio di compromettere l’immagine aziendale” (4%); e questo nonostante sia l’Europa sia
l’Italia con alcuni provvedimenti per alcuni specifici settori, richiederà o richiede la notifica
obbligatoria di eventuali perdite di dati personali alle autorità e alle persone danneggiate (il
cosidetto “data breach notification act”).
Come già menzionato (Fig. 1), più del 50% dei rispondenti si trova più frequentemente ad
adottare soluzioni di sicurezza di “tipo architetturale messe a fattor comune fra più progetti”. A questi si uniscono un 23% che “adotta in maniera più o meno paritetica le soluzioni
messe in comune e quelle a livello di singolo progetto”. Tale significativa maggioranza indica
che le aziende hanno creato una sovrastruttura di sicurezza alla quale i progetti devono far
riferimento, e, come è facile intuire, gli autori di questo report la reputano una buona notizia. E’ infatti oneroso e faticoso realizzare la security ogni volta, progetto per progetto. E’
sicuramente più efficiente lavorare a livello architetturale. A fronte di un dato certamente
positivo, troviamo un 52% che segnala, sia la necessità di “implementare dei requisiti di
94
Focus On
sicurezza in corso d’opera” (31%) che quella di dover operare tale intervento “dopo il rilascio
del prodotto / servizio” (21%). La nostra interpretazione è che le soluzioni architetturali
siano di recente adozione e comunque non sufficienti a coprire tutti i requisiti di sicurezza
costringendo, in certi casi, a delle rilavorazioni onerose.
Il 55% dei rispondenti attribuisce al cliente / committente una certa insensibilità rispetto
alla sicurezza. Alla domanda “nell’ambito dei progetti a lei affidati, in che misura i tempi
e i costi necessari per implementare i requisiti di sicurezza ICT sono stati riconosciuti
dal cliente/committente?” il 14% ha risposto “per nulla”, il 42% “molto limitatamente”, di
converso il 44% è invece soddisfatto e un singolo isolato caso, che ci piacerebbe conoscere,
ha dichiarato di aver osservato tale riconoscimento “oltre le normali aspettative”. A parte le
facili battute, su questa tematica si innesta la ricorrente controversia relativa ai cosiddetti
“requisiti non funzionali”, su cui le specifiche di progetto sono spesso formulate in maniera
lacunosa dal committente e, a volte, non chiarite preventivamente e quindi negoziate dal
fornitore della soluzione.
In aggiunta a quanto appena argomentato e a parziale scarico di responsabilità del committente, il fattore ritenuto più importante dal Project Manager per “soddisfare i requisiti di
sicurezza ICT” è la “disponibilità delle competenze necessarie all’interno del team di progetto” (44%) mentre rimane solo al secondo posto “negoziare tempi e costi adeguati per implementare i requisiti di sicurezza ICT” (28%). A nostro avviso, tale indicazione rappresenta
un’ulteriore conferma di quanto sia determinante la capacità di azione collettiva del team e
di come il PM possa giocare un ruolo centrale nel “supportare il project team sensibilizzandolo sull’importanza della sicurezza ICT” (23)%. Tale percentuale, se raffrontata con quella
riferita alla necessità di “controllare costantemente l’operato del team valutandone i risultati
prodotti” (5%) dà la misura di come il “leading by example” sia ritenuto molto più efficace
del “leading by control”.
Sul tema dell’importanza della formazione specifica di sicurezza per lo stesso Project Manager, quasi il 42% del campione la ritiene “molto importante per ricoprire al meglio il ruolo”,
il 51% la ritiene “utile ma non indispensabile” e solo il 7% la ritiene non essenziale in quanto
essere un tema specialistico. In questo caso, si tratta di un dato più difficile da decifrare e
per il quale possiamo azzardare l’ipotesi che presupposti diversi abbiano generato una tale
risposta, ovvero: da una parte, quello di chi considera la sensibilità alla sicurezza come un
tema più “culturale” su cui il PM può dare un contributo significativo; dall’altra, quella di
chi ne vede soprattutto l’aspetto tecnico e quindi la sua estraneità rispetto al ruolo manageriale del PM. Ovviamente, il nostro auspicio che i primi prevalgano sempre più sui secondi.
Il tema della Security by Design non poteva essere affrontato senza andare un po’ nel dettaglio di quali effettive misure fossero poi implementate, ma le risposte alla semplice domanda, a risposta multipla con fino a 4 scelte, “nell’ambito dei progetti a lei affidati, quali
tipi di soluzioni di sicurezza si è trovato ad implementare?” offrono uno scenario articolato e
soggetto a differenti interpretazioni. Proviamo a farlo utilizzando la tabella seguente.
Nell’ultima colonna è riportato quante volte quella specifica misura è stata indicata dai
©
Clusit 2014 95
Rapporto 2014 sulla Sicurezza ICT in Italia
rispondenti (ad esempio 217 per il controllo accessi); nelle colonne precedenti è riportato
il numero totale di altre misure scelte insieme a quella della specifica riga. Per esempio 26
persone hanno scelto un’altra misura oltre al controllo accessi1.
Il controllo accessi, strong authentication, identity federation, single sign on eccetera, ovvero tutte le tecnologie per assicurarsi dell’identità degli utilizzatori dei sistemi e per restringere la quantità dei dati accedibili si piazza con 217 risposte nettamente al primo posto, praticamente il 75% dei rispondenti ha dichiarato di aver adottato questa misura. Tale numero
va però interpretato. Infatti il controllo accessi è ampiamente diffuso in tutti i sistemi, non
esiste praticamente più alcuna applicazione che non richieda almeno una coppia di utente
e password per permettere l’accesso alle sue funzionalità. Quello che può però cambiare da
un punto di vista tecnico è il modo in cui si effettua il processo di autenticazione: la verifica
dell’utente viene svolta dentro l’applicazione oppure da del middleware specializzato? In
questo secondo caso si potrebbe parlare di Security by Design mentre non nel primo.
Il secondo insieme di misure riguarda la caratteristica della Disponibilità, stiamo parlando
del “Backup, ridondanze eccetera” che segue con 160 risposte.
Questa indicazione non ci sorprende: il tema della disponibilità del dato è ormai ben conosciuto dalle aziende e la sua mancanza è immediatamente visibile al top management;
di conseguenza negli anni sono stati realizzati diversi investimenti in tale area. Diverso è
il caso della Riservatezza che implicherebbe una serie di misure tra le quali la “cifratura
del dato a riposo e/o della trasmissione” (92) o dell’Integrità con, per esempio il “logging,
auditing, cruscotti e allarmi..” (93). Per queste caratterstiche e le relative misure gli autori
si aspettano nel prossimo futuro una crescita di attenzione che speriamo di misurare il
prossimo anno (Fig. 4).
Conclusioni
Avendo anticipato nelle premesse una visione ottimista circa le prospettive future emerse
da questa indagine, non possiamo che ribadire come l’importanza del “Security by Design”
sia stata ampiamente riconosciuta dalla popolazione dei project manager coinvolti. Detto
questo, vorremmo concludere con delle osservazioni che derivano da una lettura più profonda di alcune delle risposte che sono state date.
In primo luogo, la criticità evidenziata relativamente ai requisiti di sicurezza ci deve sensibilizzare sul fatto che la debolezza e quindi la vulnerabilità di una soluzione deriva molto
spesso dalla mancanza di un approccio di tipo “sistemico” per quanto attiene all’identificazione degli stakeholder, al disegno dell’architettura, all’integrazione delle competenze, alla
mediazione fra gli interessi in gioco e quindi al rapporto stesso fra cliente e fornitore.
1 Con questa logica salta all’occhio un rispondente che pur avendo indicato “nessuna soluzione” ha però indicato altre due soluzioni
(numero 1 in colonna denominata “3”). Questo va essere considerato un errore di chi ha compilato il questionario.
96
Focus On
Fig 4: Adozione delle misure di sicurezza - Rapporto Clusit 2014 sulla Sicurezza ICT in
Italia
Come sappiamo, rispetto a questo fenomeno non sono certo estranei l’utilizzo spinto
dell’outsourcing, la parcellizzazione dei ruoli e delle responsabilità, la compressione dei costi e le rigidità contrattuali che spesso influenzano l’impostazione stessa del piano e dell’organizzazione progettuale.
In secondo luogo, le sottolineature relative alle competenze del team e al ruolo centrale del
PM quale elemento di sensibilizzazione sul tema della sicurezza, non fanno che dimostrare
come la performance progettuale sia basata su una formula molto semplice, che vede al
numeratore il prodotto di due fattori, hard skills e soft skills, rispetto ai quali le buone
prassi e soprattutto l’ambiente di lavoro devono contribuire, sia come facilitatori dell’azione
collettiva, che come “riduttori di complessità”.
Ci piace infine ricordare che l’evento organizzato dal PMI-NIC nel febbraio del 2013 in
collaborazione con Clusit, ha stabilito il record assoluto di presenze sfiorando i 400 partecipanti. Tutto ciò, al di là delle evidenze statistiche analizzate in questo survey, è comunque
di buon auspicio per un futuro in cui le organizzazioni riconoscano al tema della sicurezza
ICT tutta l’importanza e l’attenzione che merita.
©
Clusit 2014 97
Rapporto 2014 sulla Sicurezza ICT in Italia
La Security vista dal Management
A cura di Alfredo Gatti
Siamo in molti a ritenere che al gioco della sicurezza dell’informazione sia molto difficile
vincere. Ho avuto modo di tornare su questo argomento in molte occasioni di incontro
con “numeri uno” di grandi imprese italiane e loro riporti, tra cui diversi Direttori IT che
partecipano alla community CIONET. Nessuno si illude: i “cattivi” dispongono di mezzi e
di competenze mai visti finora e nessun business può essere al riparo da rischi se costoro ritengono che valga la pena di attaccarlo. Ciononostante è fondamentale definire una
strategia di Information Security Management che includa anche “il che cosa fare prima,
durante e dopo” un attacco, oltre che assicurarsi che la propria azienda disponga di difese
informatiche aggiornate. Il gioco è quindi più complesso e dal suo esito finale può dipendere la sopravvivenza dello stesso business.
Il primo risultato delle nostre ricerche condotte sui vari panel di decisori al top delle imprese italiane è proprio questo: la comprensione della problematica e dei rischi connessi all’information security management di anno in anno migliora e di pari passo cresce l’attenzione
per le strategie di difesa che, peraltro, potrebbero indebolirsi o perdere di smalto a causa
dalle ristrettezze di bilancio imposte dal perdurare della crisi economica.
Conseguenza diretta sono alcuni inequivocabili fatti positivi:
• i budget dedicati al rafforzamento e al mantenimento delle difese informatiche si mantengono nell’ordine del 9% dei budget IT complessivamente spesi con fornitori esterni;
• in parecchie organizzazioni, come istituzioni finanziare e telco, questi budget non sono
98
Focus On
che la punta di dell’iceberg dieci volte maggiore dedicato alla problematica complessiva;
• CSO e CISO, laddove già presenti, tendono sempre più a rispondere ai primi livelli del
management aziendale, pur mantenendo il loro link con la funzione IT.
Purtroppo questi trend positivi avvengono proprio mentre i “cattivi” divengono sempre più
minacciosi e le loro tecniche di aggressione divengono sempre più sofisticate e inarrestabili,
con la conseguenza di un lungo sciame di danni economici e alla reputazione delle imprese,
alla loro stessa capacità di competere. Se i “cattivi” vincono sempre, può ingenerarsi nel
management dei “buoni” un certo scetticismo, se non proprio una perdita di fiducia nella
capacità di contrastare il cybercrime. Se quest’ultimo continua a generare un fatturato che
supera il PIL della Danimarca, forse rimane poco da fare ai “numeri uno” delle grandi imprese. Anche se continuano ad ostentare tranquillità e confidenza, in cuor loro potrebbe
diffondersi una certa dose di fatalismo e, in questo caso, il top management diventerebbe
parte del problema e non la chiave di volta della sua soluzione.
A distanza di un anno dalla prima pubblicazione del nostro Insight dedicato all’Information
Security Management nelle Imprese Top italiane e che tanto interesse ha riscosso da parte
di nostri follower, siamo ritornati decisamente sull’argomento riproponendo ai numerosi
e qualificati CIO, CISO e CSO del nostro panel la questione dell’impatto della sicurezza
dell’informazione sul business delle loro aziende. Con essi stiamo aggiornando la situazione
degli investimenti, degli aspetti organizzativi, della gestione del rischio e della compliance e
di come il tutto è soggetto a una governance. I loro preziosi feedback sono, ancora una volta,
confortanti. Anche se è scontata l’alta probabilità di perdere al gioco della sicurezza, sono i
“buoni” che, anche nel nostro Paese, ce la stanno mettendo tutta per cambiare le regole del
©
Clusit 2014 99
Rapporto 2014 sulla Sicurezza ICT in Italia
gioco e mettere in campo la strategia vincente.
I risultati preliminari della nostra survey confermano che CSO e CISO, pur alle prese con
sempre nuove criticità, cercano di coinvolgere sempre di più i primi livelli di management.
Il primo gap da colmare è appunto la loro stessa capacità di coinvolgere tutti gli stakeholder
e far sì che la sicurezza dell’informazione sia una responsabilità condivisa mentre l’impresa
procede nel proprio sviluppo e nei propri programmi di innovazione.
La sicurezza stessa è innovazione e non una battaglia di retroguardia. L’azione della prima
linea di management è fondamentale perché il cammino avvenga quanto più possibile senza
scossoni o rischi di ribaltamento; in molti sono ben consapevoli che l’approccio tradizionale
alla sicurezza informatica è ormai collassato con il progredire delle stesse tecnologie e dei
modelli di business. Perfino i timori iniziali correlati ai servizi Cloud stanno sublimando e
il grado di fiducia in questi servizi e nei provider che li propongono appare migliore con il
crescere dell’accessibilità e delle verifiche sul campo. Nelle migliori piattaforme di Governance, Risk e Compliance (GRC) sono già presenti numerosi building block rassicuranti,
anche se alcune aree grigie rimangono in fatto di commistione dei dati e quando sia difficile
ottenere dal provider la piena trasparenza sulla protezione e le modalità di manipolazione
dei dati stessi.
A mio avviso la sicurezza dell’informazione nel Cloud richiede ancora qualche passo avanti
sia da parte dei provider, sia da parte delle aziende loro clienti. Almeno nelle fasi iniziali
di adozione di servizi in Cloud occorrerebbe essere pronti a rinunciare a parte dei benefici
diretti per reinvestire i risparmi economici ottenuti nel rafforzamento della sicurezza nel
nuovo ambiente e familiarizzare con esso.
Un ulteriore aspetto critico, come è noto, ha a che vedere con l’area dell’End User Computing, nel momento in cui la mobility diviene scontata. Per fare un esempio, senza scomodare
practice di Bring Your Own, è normale per uno user effettuare azioni di tipo “dropbox”
anche per dati e applicazioni aziendali. Gli stessi “numeri uno” lo fanno, assumendo che il
loro comportamento da provetti consumatori sia corretto anche per il loro IT. Di certo non
è nelle loro priorità scegliere practice di file sync & share corrette o preoccuparsene.
In questo scenario di per sé complesso sta irrompendo anche l’Internet of things, o, meglio,
ogni oggetto va in Internet: l’era IoT è abbondantemente cominciata e oggetti ed apparati di
ogni sorta acquisiscono capacità di processing che cambiano la loro stessa natura.
Lo stesso concetto di “computing” assume un significato diverso, mentre cambiano le aspettative e gli orizzonti degli utilizzatori attraverso soluzioni e servizi sempre più in tempo
reale. Così la sicurezza delle “cose”, ma anche degli apparati, degli impianti e delle stesse
infrastrutture, amplia esponenzialmente il “perimetro” della situational awareness aziendale. Mutuando questo termine dalle tattiche militari, le organizzazioni più avanzate hanno
cominciato a chiamare così la consapevolezza delle capacità di difesa dispiegate.
Che la cyber situational awareness si debba estendere molto oltre i confini dell’organizzazione o della struttura è assodato, pertanto sempre più imprese si consociano in network
per mettere a fattor comune conoscenze, capacità, risorse, analisi di big data inerenti la
100
Focus On
sicurezza, per sostenersi l’un l’altra e rafforzare la difesa complessiva.
Dominare la cyber situational logic avvalora anche la posizione ed il ruolo del Chief Information Security Officer, in quanto capace di mettere in collegamento minacce prevedibili
con oggettive capacità di risposta.
Allorché capiti un incidente, il CISO è (o forse dovrebbe essere) in grado di rispondere a
tre domande essenziali: che cosa è accaduto? Perché è potuto accadere? Che cosa facciamo
adesso?
Per dare una risposta immediata alle prime due domande, l’organizzazione si basa sulla
cognizione della propria posizione di difesa. La risposta alla terza domanda dipende fortemente dalla capacità di reazione che è stata predisposta con anticipo. Il “che cosa facciamo
adesso?” è tanto più immediato ed efficace, quanto più la singola impresa avrà mutuato
esperienze da altre imprese, puntando a realizzare con esse un sistema condiviso di informazioni, di competenze e di risorse. La cyber situational logic implica questa capacità
di delimitare le zone di impatto e la conoscenza a priori delle conseguenze negative di un
incidente di per sé probabilmente inevitabile, ma anche e soprattutto quella del what’s next.
La questione della sicurezza dell’informazione entra in uno scenario più evoluto, in cui è il
business stesso a subire un forte cambiamento per questioni di sicurezza. Come abbiamo
ribadito, nessuna organizzazione può ritenersi al 100% al sicuro da aggressioni, per cui è
normale che tutte le organizzazioni investano risorse e tempo in modo significativo per accrescere le loro capacità di intercettazione e di pianificazione delle risposte agli attacchi. Il
rischio cibernetico è sempre più anche un’idea fissa dei numeri uno in azienda, anche se la
sensazione è che siano ancora in molti a confidare forse troppo nelle capacità delle nostre
organizzazioni o, peggio, nelle capacità dei partner di venire in nostro soccorso all’ultimo
momento.
Questo nuovo scenario è, naturalmente, mutevole ed è inevitabile che anche per l’intera
industry della sicurezza si giunga ad uno spartiacque. Al di là degli strumenti e delle practice indotte dall’innovazione tecnologica, anche una maggiore collaborazione tra privato e
pubblico dovrebbe ricevere maggiori impulsi, considerato che ormai agenzie, legislatori e
policy-maker hanno tutti gli elementi per avviare un circolo virtuoso che va a favore di tutti.
In qualche modo, anche informale, le stesse imprese del settore privato già scambiano tra
di loro informazioni critiche su minacce, incidenti e workaround. La collaborazione tra
pubblico e privato può diventare uno step in più per riequilibrare le forze in campo a sfavore
dei “cattivi”.
Se la questione non è se e quando saremo attaccati, ma cosa fare dopo: prevenzione e
capacità di risposta sono la condizione necessaria. Per vincere tuttavia occorre saper agire
dopo l’attacco: i cybercriminali vinceranno molte battaglie, ma saranno sempre più vittorie
di Pirro, ce lo auguriamo, quando la maggior parte delle organizzazioni sarà in grado di mitigare le conseguenze delle violazioni inevitabili e predisporre piani efficaci di sopravvivenza.
Credo che questa sia la strada in cui crede maggiormente il management, anche quello del©
Clusit 2014 101
Rapporto 2014 sulla Sicurezza ICT in Italia
le imprese italiane e la nuova frontiera è di investire perché questi piani “del dopo” funzionino. Per prima cosa questi piani non dovrebbero essere “generici”, ma correlati puntualmente agli specifici accadimenti, mentre le organizzazioni dovrebbero superare la complessità
dell’integrazione di questi piani nelle varie unità di business. Spesso le singole unità creano
loro piani di risposta ottimizzati, che possono essere utili per trattare con attacchi mirati, ma
che non sono così efficaci per la gestione di un incidente attraverso l’intera organizzazione.
È il classico approccio “a silos”, che inibisce anche la condivisione delle conoscenze e delle
best practice, tipicamente identificate in alcune persone che hanno il compito “istituzionale” di conoscere e attuare il piano, perdendo il vantaggio degli automatismi che l’intera
community di business dovrebbe possedere.
Una parte fondamentale della strategia è poter disporre di informazioni, mettere a fattor
comune le esperienze, aprirsi sull’argomento in situazioni pre-competitive. Il nostro Insight
vuole essere uno strumento che serve a questo, perché riporta fedelmente risultati e posizioni di merito utili a tutti gli stakeholder della sicurezza dell’informazione, ma sono soprattutto associazioni come Clusit, i rapporti diretti tra addetti ai lavori, tra le aziende private
e le istituzioni pubbliche, che possono fare la differenza in questo momento pur sempre
molto critico per la sicurezza dell’informazione.
102
Focus On
Formazione e consapevolezza, strumenti indispensabili
per la Sicurezza delle Informazioni
a cura di Andrea Rui e Stefano Ramacciotti
Più aumentano l’attenzione e le competenze specifiche nel settore e più aumentano i casi
di cybercrime a danno degli utenti. È una sorta di forbice che si apre: da una parte (quella
professionale) la consapevolezza aumenta, e dall’altra (quella della gente comune, ben più
vasta) diminuisce. Onde invertire questa tendenza è evidente che occorre estendere il nostro target di riferimento comprendendo, oltre al mondo degli utenti professionali, anche le
categorie che fino ad oggi sono state meno considerate. È per questo motivo che quest’anno
dedichiamo uno spazio anche allo stato della formazione in Italia per un utilizzo del Web e
delle nuove tecnologie consapevole e sicuro.
Mentre sino a poco tempo fa si viveva in un’era post-industriale, oggi stiamo vivendo in
un’epoca “esponenziale”, in cui il tempo e la velocità non sono più definiti dai mezzi di trasporto, ma da Internet e dalla velocità del trasferimento delle informazioni. Chi oggi parla di
sicurezza in Rete è nato e cresciuto senza telefoni cellulari ed ha avuto il tempo di evolvere
con le tecnologie della Rete; tuttavia anche costui oggi fatica a stare dietro all’evoluzione
della tecnologia.
Ancora peggiore è la situazione per i cosiddetti “nativi digitali”, di coloro che sono nati
avendo già un computer in casa e una connessione ad Internet. Ma le cose evolvono così in
fretta che adesso anche questa generazione è stata superata: siamo ormai alla generazione
dei”mobile born”, di coloro che non installano sistemi operativi: semplicemente, li usano
(sempre che sappiano cosa sono e a cosa servano), e che non installano più applicazioni,
ma scaricano “app” in quantità. Ma la semplicità della Rete con i suoi servizi, e la promessa
di un ingannevole “tutto gratis”1, sono fattori che portano con sé un uso sempre più inconsapevole di tecnologie che divengono ogni giorno più complesse e potenzialmente subdole.
Occorre quindi far comprendere che, qualsiasi sia il servizio che si utilizza e indipendentemente da chi lo fornisce, se il servizio è gratuito, è perché il prodotto è l’utente stesso.
Per svariate ragioni, in questi ultimi anni l’attenzione dei media ai problemi della sicurezza
della Rete e degli utenti in Rete è andata costantemente crescendo.
Tuttavia è da rilevare che gli sforzi mediatici tendono più a fare allarmismo piuttosto che a
sviluppare consapevolezza nei cittadini; è un continuo sentir dire che avvengono frodi e furti d’identità on-line, ma quasi mai si tocca il tema di come la gente possa e debba difendersi.
Anche quando vengono intervistati i soliti esperti si sentono spesso dire banalità e non si
avvia mai un serio programma di informazione per la popolazione.
Da ciò deriva una diffusa mancanza di fiducia in Internet e nelle sue potenzialità, limitando l’e-Commerce, l’home banking ed il rapporto telematico del cittadino con la Pubblica
1
©
“77% of all Apple App Store revenue now comes from gaming, and 92% of this sum is paid using in-app purchases” (http://blog.
kaspersky.com/5-signs-of-extortion-in-free-games/)
Clusit 2014 103
Rapporto 2014 sulla Sicurezza ICT in Italia
Amministrazione, contribuendo a favorire quello che viene anche definito digital divide,
troppo spesso erroneamente associato soltanto alla disponibilità e all’accessibilità di tecnologie e connettività.
La mancanza di consapevolezza, unita alla diffusa disinformazione e all’allarmismo portano
da un lato i cittadini meno digitalizzati, di solito i più anziani, a evolvere (tecnologicamente)
ancora più lentamente, e porta i cittadini della Rete (i cosiddetti netizen) a ignorare gli evidenti allarmismi dei più anziani, ritenuti poco credibili, spesso ignorando anche i principi
più elementari della prudenza, della discrezione e della riservatezza.
Consideriamo poi l’effetto che tutto ciò ha sull’economia (e in un momento di crisi come
questo è un obbligo): alcuni studi evidenziano una stretta correlazione tra aumento della
banda e aumento del PIL. La Ericsson, in una ricerca del 2011, dice che:”Doubling the
broadband speed for an economy increases GDP by 0.3%”2, ma ci sono autori che si spingono
fino a un aumento dell’1% del PIL al raddoppio della banda. Altri studi3, portano a dire che
gli effetti dell’aumento di banda sono meno efficaci nei confronti dei paesi meno inclini ad
accettare i cambiamenti (come l’Italia che, a seconda delle statistiche, si ritrova soltanto tra
il 50o4 e il 95o5 posto nel mondo come capacità della propria rete ADSL).
Origine del Problema
Questo digital divide, come si è già detto più culturale che tecnologico, ha le proprie origini
in una concomitanza di cause che, combinandosi, amplificano il problema sociale.
Certamente ha contato molto la velocità con cui il mercato ha reso disponibili alle masse
strumenti quali smartphone, tablet e connettività dalle caratteristiche tanto impensabili che
la società e la cultura non hanno fatto in tempo a prepararsi e ad adeguarsi al fenomeno.
Se fino a pochi anni fa chi utilizzava un computer aveva almeno una vaga idea della distinzione tra hardware, software (sistema operativo e programmi, che dovevano essere installati
manualmente), e dati, oggi ci troviamo invece a utilizzare i dispositivi appena estratti dalla
confezione (persino la batteria è già carica!), e a creare e comunicare dati senza sapere dove
questi risiedano realmente.
Un ulteriore causa è imputabile al totale stravolgimento del modello di business: se fino a
pochi anni fa i prodotti e i servizi avevano un prezzo, per cui prima di impegnarsi si cercava anche di comprendere cosa si stava acquistando e si facevano confronti, oggi abbiamo
accesso ad un’infinità di servizi ed applicazioni a costo zero, o al limite al costo di un caffè.
È importante poi l’aspetto psicologico ove la quantità, e non la qualità, delle applicazioni
e dei servizi a nostra disposizione fanno sì che l’irrazionalità della fretta e della curiosità
2http://www.ericsson.com/news/1550083
3
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/ 85961/UK_Broadband_Impact_Study_-_Literature_Review_-_Final_-_February_2013.pdf
4 International Business Times – http://it.ibtimes.com/articles/46459/20130411/internet-disastro-italia-cinquantesimo-posto-rapporto-innovazione.htm
5 NetIndex.com - http://www.netindex.com/download/allcountries/#
104
Focus On
di provare abbiano il sopravvento sulla razionalità del chiedersi che cosa si stia realmente
facendo.
Un aspetto certamente fondamentale è il modo di rapportarsi del netizen, sia con la tecnologia
che con i propri simili, che è radicalmente cambiato. Fino a pochi anni fa vi era una certa ritrosia nell’affidarsi completamente alla tecnologia. Oggi, dove tutte le relazioni sono ormai quasi
sempre mediate da qualche mezzo informatico, i netizen non si pongono più nemmeno il
problema: una informazione è vera perché lo dice un oggetto da pochi centimetri cubici.
Anche le relazioni personali sembrano essere cambiate. Prima le relazioni si consumavano
tra gli interessati, e al limite si estendevano a cerchie un po’ più allargate attraverso il passaparola o il pettegolezzo, e avevano una durata legata soltanto alla memoria delle persone
e alle fotografie fatte stampare a caro prezzo. Oggi, nonostante la Sociologia ci dica che
vale ancora il “numero di Dunbar”6 (circa 150 è “limite cognitivo teorico che concerne il
numero di persone con cui un individuo è in grado di mantenere relazioni sociali stabili”),
quanti non conoscono ragazzini che si vantano di avere migliaia di “amici” sui più noti social
network, senza nemmeno sapere quanto tale elevato numero aumenti i loro rischi.
L’immediatezza del rapporto con gli altri ha fatto perdere la possibilità di riflettere e di
cambiare idea prima di dire o scrivere qualcosa, e la mediazione telematica ha, di fatto,
limitato la possibilità di cogliere le emozioni, l’espressività e la gestualità che sono elementi
fondamentali nel relazionarsi.
Lo stesso oblio dei ricordi con cui le civiltà hanno convissuto per millenni è stato completamente scardinato dalla sua funzione sociale, a causa della persistenza della memoria della
Rete e della semplicità con cui è possibile accedere a questa incredibile “macchina del
tempo universale”.
Target di riferimento
Usando il gergo proprio dei pubblicitari, con “target di riferimento” vogliamo intendere gli
utenti non-professionisti che già utilizzano il digitale. Essendo un insieme di persone troppo
vasto per un’efficace opera di sensibilizzazione, appare più opportuno concentrarsi su chi
rappresenta il futuro di questo Paese: i ragazzi in età scolare. Ben sapendo che quelli più
grandi, delle Superiori, saranno già un gruppo difficile da raggiungere, dato che, in mancanza di informazioni precise, si sono spesso già fatti idee proprie, spesso errate e difficili
da eradicare.
Purtroppo, la velocità con cui si succedono le generazioni (non biologiche ma culturali) ha
reso completamente impreparate le classi dei genitori, dei nonni e degli insegnanti (per non
parlare delle istituzioni), che da sempre hanno svolto un ruolo fondamentale nell’educazione e nella crescita psicologica dei minori. I genitori e i nonni che insegnavano ai bambini
il classico: “Non accettare caramelle dagli sconosciuti!” non sono preparati a rimodulare
questo insegnamento per la nuova vita sociale in Rete.
6
©
http://it.wikipedia.org/wiki/Numero_di_Dunbar
Clusit 2014 105
Rapporto 2014 sulla Sicurezza ICT in Italia
Questa inadeguatezza porta quindi a reazioni di totale divieto o completa permissività, non
sapendo ove sia quella linea di confine tra il bene e il male, tra la sicurezza ed il pericolo.
Oltre ai ragazzi in età scolare, alle loro famiglie (genitori e nonni), il target su cui intervenire
è, ovviamente, anche quello del personale didattico (dirigenti scolastici, docenti, tecnici
di laboratorio). È il caso di notare che ognuna di queste figure è un portatore di interessi
diversi, in relazione al proprio ruolo nell’educazione dei giovani. Pertanto, così come si
suddividono i ragazzi in fasce d’età per ottimizzare la loro formazione, è necessario anche
prevedere temi ed approcci diversi per le diverse figure.
Situazione Attuale
Dal punto di vista della sicurezza, attualmente la scolarizzazione informatica porta benefici
minimi, quando non ne aumenta i pericoli a causa della frequente limitata preparazione dei
docenti su tematiche di sicurezza delle informazioni. L’approccio generale è più orientato
all’insegnamento utilizzando le nuove tecnologie, come le LIM che alla comprensione di
come realmente funzioni un sistema informatico. A maggior ragione mancano le competenze per spiegare come funzionino la connettività e le tecnologie mobili.
Esistono naturalmente dei punti di eccellenza: scuole che oltre ad aver scelto lo strumento
informatico come mezzo didattico colgono anche l’offerta disponibile per organizzare momenti di informazione e di formazione per studenti, genitori e terza età.
Certamente sfugge a una gestione didattica organizzata e coerente il fatto che i giovani di
oggi saranno, tra pochissimi anni, coloro che governeranno l’Italia, la sua società e la sua
economia, e che solo il loro grado di comprensione delle tecnologie della Rete e del loro
funzionamento farà in modo che il nostro Paese possa di nuovo sedere a pieno titolo al tavolo dei Grandi o essere un mero inseguitore nella competizione per l’innovazione e la crescita
nel panorama livello mondiale.
E mentre ancora ci attardiamo a parlare di smartphone e mobile, la Internet dei PC si sta
trasformando nella Internet of things, dove persino i nostri orologi (smartwatch) e gli occhiali
(SpaceGlasses) sono divenuti oggetti attivi e costantemente connessi, con notevoli problemi
per la privacy propria e degli altri.
E purtroppo l’aspetto sociale delle tecnologie della Rete non viene affrontato se non citando
come “social” servizi quali FaceBook, Twitter, WhatsApp, etc., invece che il loro impatto e le
loro implicazioni sulla vita sociale “reale”. Gli stessi provider non aiutano dato che chiamano “amici” quelli che sono al più dei semplici “conoscenti”, abbattendo, di fatto, le ultime
remore dei più giovani internauti.
È difficile presentare dati aggiornati, in quanto l’unica rilevazione sistematica su scala europea risale ancora al 2010, con il Safer Internet Day, promosso da Insafe; rilevazioni più
recenti, come quella IPSOS del 20137, si basano su campioni molto più ristretti, e quindi
meno significativi; tuttavia dal confronto con i dati del 2011 emerge un leggero miglioramento nella percezione dei pericoli relativi a cyberbullismo e molestie di vario tipo, mentre
7
http://images.savethechildren.it/IT/f/img_pubblicazioni/img204_b.pdf
106
Focus On
peggiora la percezione di quelli relativi a mancanza di relazioni significative, disturbi alimentari e malattie trasmissibili
Telefono Azzurro riporta8 che circa un quarto degli adolescenti ha trovato on-line pettegolezzi e falsità sul proprio conto o foto imbarazzanti, e di aver ricevuto SMS o MMS a sfondo
sessuale.
È anche difficile ottenere dati specifici sui reati sui minori perpetrati attraverso o grazie allo
strumento informatico.
La mancanza di una cultura della sicurezza delle proprie informazioni emerge anche dai
dati 2012-2013 della Polizia Postale, con 93.815 denunce e 24.000 frodi creditizie perpetrate attraverso il furto d’identità, con un danno complessivo di 195 milioni di Euro.
I dati emergenti dal Safer Internet Day 2010 riportavano, già allora, un quadro in cui la
maggioranza dei giovani ha una importante presenza sui social network, pubblica tranquillamente informazioni molto personali quali il proprio indirizzo, la propria scuola, la foto ed
i propri contatti, e soprattutto si sente assolutamente tranquilla nel farlo.
Risultava che quasi i tre quarti dei teenager italiani fossero stati contattati online da sconosciuti (una percentuale peggiore della media europea, attestata intorno ai due terzi), ed
emergeva un altro aspetto preoccupante: quasi la metà dei giovani rispondeva, per la curiosità, a persone sconosciute.
8
©
http://www.azzurro.it/it/news-ed-eventi/area-stampa/statistiche-recenti/88
Clusit 2014 107
Rapporto 2014 sulla Sicurezza ICT in Italia
Un aspetto degno di riflessione è che quasi la metà dei genitori tende a sovrastimare le
proprie competenze in materia di computer e di Web e il grado di maturità e prudenza dei
propri figli, al punto di non controllare l’utilizzo che i figli fanno della Rete. Purtroppo vi è
da dire che spesso non saprebbero nemmeno dove guardare. Da qui la scarsa stima che i
figli nutrono nelle competenze dei propri genitori.
Dalla data del sondaggio a oggi i numeri non hanno fatto che amplificarsi grazie all’incremento dell’accesso alla Rete via ADSL e soprattutto al mobile e alle reti 3G e 4G.
Ciò ha fatto sì che i giovani di oggi abbiano perso quasi totalmente di vista il concetto di
privacy e di come la sua perdita possa condizionare la propria vita presente e futura, e che le
attuali generazioni di adulti e le istituzioni, che hanno il compito di educarli e farli crescere
in modo sano, abbiano perso la capacità di farglielo comprendere.
Occorre tuttavia evidenziare come le istituzioni stiano iniziando a sviluppare una certa attenzione ai problemi della Rete, come testimonia la recentissima pubblicazione del Codice
di Autoregolamentazione contro il Cyberbullismo9.
A causa di questa situazione di disinformazione diffusa si è andata sviluppando in gruppi di
associazioni e professionisti del settore una percezione condivisa della necessità di offrire
un proprio contributo, al fine di mitigare gli atteggiamenti sbagliati che le nuove generazioni
adottano nell’utilizzo di Internet.
Anche alcune istituzioni e rappresentanti delle istituzioni (Magistrati, Polizia Postale, Difesa, etc.) e aziende private con i propri specialisti in sicurezza informatica e cybercrime
organizzano interventi informativi e di sensibilizzazione sul territorio. Tuttavia si tratta di
interventi senza un denominatore comune tra loro, ciascuno presentando, interpretando e
veicolando il messaggio della sicurezza attraverso il filtro della propria professionalità; questo approccio porta ad una dispersione degli sforzi e alla loro scarsa riutilizzabilità.
Mancando un piano coordinato, non si riesce attualmente a capitalizzare gli sforzi, impedendo quindi di raggiungere e coprire con costanza e uniformità ogni nuovo anno scolastico
e tutto il territorio.
Verso quale direzione andare
La rapidissima evoluzione della “Internet of things” offre purtroppo pochissimo tempo per
l’aggiornamento continuo, e chi dovrebbe sapere ed insegnare si trova invece sempre ad
inseguire i giovani, il mercato e la legge.
Per quanto siano i benvenuti, tutti gli sforzi puntuali di professionisti, associazioni ed aziende per elevare le competenze e il grado di consapevolezza di giovani e docenti risultano
estemporanei, e non hanno il potere di garantire la diffusione su tutto il territorio e la continuità a tutte le nuove generazioni.
Anche ricerche come quella condotta nel 2010 per il Safer Internet Day, se non ripetute
e aggiornate con continuità, non possono offrire informazioni sufficienti per adeguare nel
9
http://www.sviluppoeconomico.gov.it/images/stories/documenti/codice_cyberbullismo_8%20gennaio_2013.pdf
108
Focus On
tempo le scelte della politica. Ed è per questo aspetto, che potrebbe essere auspicabile il
coinvolgimento del Ministero della Giustizia nel reperire dati aggiornati sui reati specifici
che coinvolgono i minori e del Ministero dell’Istruzione.
Occorre pertanto introdurre nel piano dell’offerta formativa per i giovani anche gli argomenti per un utilizzo consapevole dei servizi che la Rete offre, incentivando coloro che partecipano all’educazione dei giovani, fornendo loro la formazione e gli strumenti didattici utili
e necessari per svolgere il proprio compito. E questo sia per aumentare la consapevolezza,
che per fornire una prima risposta a quanto detto dall’ing. A. Ragosa, Direttore Generale
dell’Agenzia per l’Italia Digitale, in occasione del Security Summit 2013 a Roma: «... già nel
corso del 2013 in Europa non saranno occupati un milione di posti di lavoro disponibili legati
all’economia digitale perché mancano le competenze sufficienti per ricoprirli», e specificamente nel settore della sicurezza.
Sono pertanto da sostenere tutti gli interventi finalizzati a “formare i formatori”, che potrebbero contribuire a sviluppare le figure professionali mancanti, portando conoscenza nelle
scuole e creando parallelamente nuovi posti di lavoro.
Per il conseguimento dell’obiettivo è di fondamentale importanza sfruttare tutte le sinergie
disponibili. In questo senso Clusit, con la collaborazione del capitolo italiano di (ISC)2, ha
stabilito un rapporto con il Ministero dell’Istruzione, dell’Università e della Ricerca (MIUR)
al fine di affrontare il problema e sviluppare e promuovere gli strumenti didattici necessari.
©
Clusit 2014 109
Gli autori
Gli autori del Rapporto Clusit 2014
Luca Bechelli è consulente indipendente nel campo della sicurezza informatica dal 2000. Con aziende partner svolge consulenza per progetti nazionali ed internazionali su tematiche di
Compliance, Security Governance, Risk Management, Data Protection, Privilege Management, Incident Handling e partecipa
alla progettazione ed al project management per attività di system
integration. Svolge attività di ricerca e svilupo con aziende nel
campo della sicurezza e tramite collaborazioni con enti di ricerca,
nell’ambito delle quali ha svolto docenze per master post-laurea.
È co-autore di pubblicazioni scientifiche e tecni- co/divulgative.
Socio Clusit dal 2001, è membro del Direttivo e del Comitato
Tecnico Scientifico dal 2007 ed ha partecipato come docente a numerosi seminari Clusit
Education, anche nell’ambito dei Security Summit.
Gianluca Bocci, laureato in Ingegneria nel 1996, certificato
CISA, CISM, Lead Auditor ISO/IEC 27001:2005 e ITILv3, ha
maturato un¹esperienza pluriennale nel settore della Sicurezza Informatica, inizialmente come Security Solution Architect
presso multinazionali di rilevanza per lo specifico settore con la
conduzione di attività progettuali per Clienti di fascia enterprise e attualmente in Poste Italiane S.p.A. in qualità di Security
Professional Master nella funzione corporate “Tutela Aziendale Sicurezza delle Informazioni² supportando le attività del Computer Emergency Response Team e la realizzazione del Distretto di
Cyber Security previsto nell’ambito delle iniziative del Programma
Operativo Nazionale (PON).
©
Clusit 2014 111
Rapporto 2014 sulla Sicurezza ICT in Italia
Raoul “Nobody” Chiesa, 40 anni, torinese, dopo essere stato
tra i primi hacker italiani a cavallo tra gli anni ‘80 e ‘90, decide nel
1997 di muoversi verso l’Information Security professionale e fonda una delle prime aziende di security consulting «vendor-neutral».
Raoul, socio fondatore del CLUSIT, è membro del Comitato Direttivo di ISECOM, CLUSIT, OWASP Italian Chapter, Osservatorio Italiano Privacy (AIP/OPSI); è inoltre uno dei coordinatori
del GdL “Cyber World” al CASD/OSN (Centro Alti Studi Difesa,
Osservatorio per la Sicurezza Nazionale) presso il Ministero della
Difesa.
Nel novembre del 2012 fonda Security Brokers Società Cooperativa per Azioni, un innovativo think-tank composto da professionisti provenienti dal mondo
dell’Information Security con esperienza ultradecennale in differenti settori di specializzazione.
Dal 2003 Raoul ha iniziato la sua collaborazione con l’agenzia delle Nazioni Unite “UNICRI” (United Nations Interregional Crime & Justice Research Institute) lavorando al progetto “HPP” (Hacker’s Profiling Project); oggi il suo ruolo presso UNICRI è quello di “Special Advisor on Cybercrime Profiling”.
Dal 2010 Raoul è membro del PSG (Permanent Stakeholders Group) di ENISA, European
Network & Information Security Agency, con mandato sino al 2015.
E’ autore di numerose pubblicazioni, cartacee ed on-line, sia all’Italia che all’estero, tra cui:
Apogeo Editore, Feltrinelli, McGrawHill, Taylor&Francis Group/CRC Press, Hoepli, Sperling&Kupfler, ed e’ ospite in tramissioni televisive nazionali ed estere sin dal 1996.
Davide Del Vecchio, da sempre appassionato di sicurezza informatica, con il soprannome “Dante” ha firmato numerose ricerche
nell’ambito della sicurezza informatica. Scrive sporadicamente per
Wired ed altre testate ed è tra i fondatori del Centro Hermes per la
Trasparenza ed i Diritti Digitali in rete. Ha collaborato con diverse
università ed ha partecipato come relatore a parecchi congressi nazionali e internazionali.
Attualmente ricopre il ruolo di responsabile del SOC e dei servizi di
sicurezza gestita per i clienti executive di FASTWEB.
112
Gli autori
Alfredo Gatti è imprenditore, managing partner e fondatore di
NEXTVALUE, e managing director di CIOnet Italia. In questo ruolo si dedica ai programmi di ricerca sui temi emergenti e di sviluppo di relazioni con imprenditori e manager del mercato IT e New
Media, affiancando i decisori in progetti di sviluppo, innovazione e
Merger&Acquisition.
Essi gli riconoscono capacità di visione e manageriali, leadership
e competenze, assieme ad un approccio pragmatico e orientato ai
risultati ed eticamente sempre corretto.
Queste caratteristiche professionali derivano anche da un importante percorso di management svolto alla guida di team di specialisti e manager di business unit in GTE, Hewlett-Packard e AT&T, in contesti nazionali ed
internazionali.
Laureato in Ingegneria Elettronica al Politecnico di Milano, ha arricchito il proprio background di competenze specializzandosi presso l’Insead di Parigi e presso il Cambridge Technology Group di Boston e completando i percorsi di formazione dedicati ai first line
manager in At&T e in Hewlett-Packard.
Attivamente impegnato come Consigliere di Assintel, l’Associazione Italiana delle Aziende
di Software e Servizi, è autore di numerose pubblicazioni ed articoli di management dell’IT
e opinion leader riconosciuto in ambito europeo nell’ambito della diffusione di best practice
e di innovazione dell’IT.
Walter Ginevri Dopo la laurea in ingegneria e un decennio speso
quale specialista nell’ingegneria del software, ha progressivamente
spostato i propri interessi nell’ambito del re-engineering organizzativo e del project management in contesti complessi. Tutto ciò, gli ha
permesso di acquisire una consolidata esperienza, sia quale Project
Advisor presso gruppi bancari ed industriali, sia quale responsabile
della governance di progetti e servizi presso una multinazionale di
ICT.
In virtù delle esperienze maturate in settori e in posizioni assai diverse, e soprattutto grazie alle lezioni apprese dai progetti più problematici, ha maturato la convinzione che il project management
del 21° secolo debba caratterizzarsi sempre più su tre elementi portanti:
Multidisciplinare, ovvero capace di integrare le discipline scientifiche ed umanistiche
Multiculturale, ovvero capace di cogliere il meglio dalle culture occidentale e orientale
Multimediale, ovvero capace di sfruttare gli strumenti più collaborativi di comunicazione
Su queste basi, svolge l’attività consulenziale presso aziende italiane ed estere, affiancandola a quella di Trainer e Coach con l’obiettivo di trasferire le proprie competenze, unito a
©
Clusit 2014 113
Rapporto 2014 sulla Sicurezza ICT in Italia
quello di “imparare, disimparare ed imparare di nuovo” (A. Toffler).
Nel 2001 è entrato a far parte della famiglia professionale nel Project Management Institute, al quale dedica una parte significativa del proprio tempo quale volontario del PMI
Northern Italy Chapter, di cui è Presidente dal 2011. In tale contesto, si dedica da anni allo
studio della teoria della complessità applicata ai progetti, nonché alla diffusione del project
management presso la scuola primaria, iniziativa questa che ha portato alla realizzazione
di un kit metodologico sperimentato in diversi paesi e oggi disponibile in una dozzina di
lingue.
Paolo Giudice è segretario generale del CLUSIT. Negli anni 80 e
90 ha svolto attività di consulenza come esperto di gestione aziendale e rischi finanziari. L’evoluzione del settore IT, che ha messo
in evidenza le carenze esistenti in materia di Security, lo ha spinto
ad interessarsi alla sicurezza informatica e, nel luglio 2000, con un
gruppo di amici, ha fondato il CLUSIT. Dal 2001 al 2008 ha coordinato il Comitato di Programma di Infosecurity Italia e dal 2009
coordina il Comitato Scientifico del Security Summit. Paolo è Partner di C.I.S.C.A. (Critical Infrastructures Security Consultants &
Analysts) a Ginevra.
Corrado Giustozzi Consulente e docente di sicurezza delle informazioni, divulgatore scientifico.
Impegnato sui temi della sicurezza informatica sin dal 1985, attualmente si occupa in particolare di: crittografia, steganografia e
tecniche di data protection; sicurezza delle informazioni nelle organizzazioni complesse; crimini ad alta tecnologia e loro contrasto;
indagini digitali, computer forensics e tecniche di antiforensics; cyberwarfare e cyberterrorismo; rapporti tra tecnologia e diritto (firma
digitale, privacy, governance & compliance); aspetti socioculturali
di rischio nell’uso delle nuove tecnologie.
È membro del Permanent Stakeholders’ Group dell’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni (ENISA). Fa parte del “Expert Roster”
della International Telecommunications Union (ITU) e collabora con l’Ufficio delle Nazioni Unite per il Controllo della Droga e la Prevenzione del Crimine (UNODC) su progetti
internazionali di contrasto alla cybercriminalità ed al cyberterrorismo
Collabora da oltre quindici anni con il Reparto Indagini Tecniche del Raggruppamento
Operativo Speciale dell’Arma dei Carabinieri nello svolgimento di attività investigative e di
114
Gli autori
contrasto del cybercrime e del cyberterrorismo; fa parte del Comitato Scientifico dell’Unità
di Analisi del Crimine Informatico della Polizia delle Telecomunicazioni; è Perito del Tribunale Penale di Roma in materia di criminalità informatica.
Come professore a contratto insegna i temi della sicurezza e del contrasto al cybercrime
presso diverse università italiane. Come consulente ha condotto importanti progetti di audit
ed assessment di sicurezza logica, e progettato infrastrutture di sicurezza e trust, presso
grandi aziende e pubbliche amministrazioni.
Giornalista pubblicista e membro dell’Unione Giornalisti Italiani Scientifici (UGIS), svolge
da sempre un’intensa attività di divulgazione culturale sui problemi tecnici, sociali e legali
della sicurezza delle informazioni partecipando a trasmissioni televisive e radiofoniche, e
tenendo frequentemente conferenze e seminari. Ha al suo attivo oltre mille articoli e quattro libri.
Stefano Niccolini Laurea in Fisica (110/110) Università di Trento 1980.
Dopo una significativa esperienza in ambiente universitario e successivamente in campo industriale, nel 1983 è entrato nel mondo
IT bancario, svolgendo attività che hanno spaziato dalla programmazione, all’analisi fino all’organizzazione.
Dal 1999 svolge attività di Internal Auditing, è Associato AIEA dal
2002 e ha conseguito la certificazione CISA nel 2003. Da allora si
occupa di ICT Auditing, di Governance e Risk Assessment in ambiente bancario. Le aree di intervento includono le aree di business
come gli outsourcer informatici e società erogatrici di servizi.
Ha collaborato con AIEA nella realizzazione di traduzioni di documentazione ISACA, nella
realizzazione della pubblicazione “CobiT e ITIL, due framework complementari” (2007).
Dal 2007 al 2012 ha svolto attività per AIEA in qualità di CobiT teacher. È stato membro
del Comitato Elettorale dal 2006 fino al settembre del 2012.
A inizio 2013 è stato eletto Presidente di AIEA per il triennio 2013 – 2015.
©
Clusit 2014 115
Rapporto 2014 sulla Sicurezza ICT in Italia
Alessio L.R. Pennasilico, Security Evangelist di Alba ST, conosciuto nell’hacker underground come -=mayhem=-, è internazionalmente riconosciuto come esperto di sicurezza delle informazioni.
Entusiasta cittadino di Internet, si dedica ad aumentare l’altrui percezione delle problematiche legate a sicurezza, privacy ed utilizzo
della tecnologia, oltre che a prevenire o respingere attacchi informatici conosciuti o non convenzionali.
Da anni partecipa come relatore ai più blasonati eventi di security
italiani ed internazionali. Ha infatti tenuto seminari in tutta Europa
ed oltreoceano. Collabora, inoltre, con diverse università ed a diversi progetti di ricerca.
Alessio fa parte del direttivo e del comitato tecnico scientifico di Clusit, del Comitato Direttivo Nazionale dell’Associazione Informatici Professionisti (AIP) e dell’Executive Commitee dell’Osservatorio Privacy & Sicurezza Informatica OPSI-AIP.
Stefano Ramacciotti è stato per sei anni Direttore del Ce.Va. Difesa del II Rep. di SMD; prima ancora, Capo Ufficio Firma Digitale
(delegato per la PKI della Difesa e responsabile della Carta Multiservizi della Difesa) e Referente Tecnico della Marina Militare per
il CNIPA e, prima ancora, Vice-Direttore del Centro nodale dei
sistemi informatici della MM (Maritele Roma). Dopo il master di
Sicurezza ICT Avanzato, nel 2008 ha conseguito in Canada i brevetti di Valutatore Common Criteria fino a EAL4. Laureato in “Scienze
Marittime e Navali” ha frequentato corsi di “Risk management” e
“FIPS 140-2”. Contribuisce allo sviluppo di norme internazionali
dell’ISO come capo delegazione per i Security Evaluation Criteria
(WG3 di ISO/JTC1/SC27). E’ CISSP ed è qualificato LA ISO/IEC. E’ conferenziere in
ambito nazionale ed internazionale su tematiche di sicurezza e autore di articoli specialistici
pubblicati su riviste nazionali ed estere. Socio fondatore e membro del Comitato Direttivo
di (ISC)2 Italian Chapter è responsabile del GdL di Educazione alla Sicurezza Informatica.
116
Gli autori
Andrea Rui opera da dieci anni nel mondo dell’IT per il Ministero
della Giustizia. In questo periodo si è appassionato alla sicurezza
delle informazioni, e si è specializzato nella gestione della qualità e
del rischio, della compliance normativa e della business continuity,
oltre che della sicurezza delle informazioni nel cloud.
È un entusiasta del mondo del software libero e degli open data e di
tutte le loro implicazioni culturali nella società.
Per la sua passione per la sicurezza delle informazioni, ha sposato da
diversi anni la causa della divulgazione della cultura della sicurezza
in Rete divenendo un evangelist presso i giovani e le scuole, e promuove tali iniziative presso le Istituzioni.
È certificato CISA, BCMP e CCSK, ed è socio Clusit con delega per i rapporti con il Ministero della Giustizia e con il mondo della scuola.
Per il Rapporto Clusit 2014 sulla sicurezza ICT in Italia è co-autore del focus “Formazione
e consapevolezza, strumenti indispensabili per la Sicurezza delle Informazioni”.
Claudio Telmon è consulente freelance nel campo della sicurezza da quasi quindici anni. Ha gestito il laboratorio di sicurezza del
Dipartimento di Informatica dell’Università di Pisa, ed in seguito ha
continuato a collaborare con il Dipartimento per attività di didattica
e di ricerca, in particolare nel campo della gestione del rischio.
Si è occupato come professionista dei diversi aspetti tecnologici eorganizzativi della sicurezza, lavorando per aziende del settore finanziario, delle telecomunicazioni e per pubbliche amministrazioni.
È membro del comitato direttivo del CLUSIT, con delega per l’Agenda Digitale in ambito sanitario. Nell’ambito delle attività dell’associazione è anche responsabile: dei Progetti Europei, dei Progetti per le
PMI, del Premio Tesi.
©
Clusit 2014 117
Rapporto 2014 sulla Sicurezza ICT in Italia
Alessandro Vallega, in Oracle Italia dal 1997 come Project Manager in ambito ERP e nell’Information Technology dal 1984, è
Business Development Manager e si occupa di Governance Risk
and Compliance, Database Security ed Identity & Access Management. È il coordinatore della Oracle Community for Security ed è
membro del Consiglio Direttivo di Clusit. E’ coautore, editor o team
leader delle pubblicazioni “ROSI Return on Security Investments:
un approccio pratico”, “Fascicolo Sanitario Elettronico: il ruolo della tecnologia nella tutela della privacy e della sicurezza”, “Privacy
nel Cloud: le sfide della tecnologia e la tutela dei dati personali
per un’azienda italiana”, “Mobile Privacy: adempimenti formali e
misure di sicurezza per la compliance dei trattamenti di dati personali in ambito aziendale”,
“I primi 100 giorni del Responsabile della Sicurezza delle Informazioni (Come affrontare il
problema della Sicurezza informatica per gradi)”, “La Sicurezza nei Social Media - Guida
all’utilizzo sicuro dei Social Media per le aziende del Made in Italy”, “Le Frodi nella Rete”
Andrea Zapparoli Manzoni si occupa con passione di ICT Security dal 1997 e di Cyber Crime e Cyber Warfare dal 2003, mettendo a frutto un background multidisciplinare in Scienze Politiche e Computer Science. È Presidente de iDialoghi. È membro
del gruppo di lavoro “CyberWorld” nell’ambito dell’Osservatorio per
la Sicurezza Nazionale del Centro Militare di Studi Strategici. E’
membro del Consiglio Direttivo di Clusit e di Assintel. Ha tenuto
per Clusit numerosi seminari e partecipato come speaker alle varie
edizioni del Security Summit ed alla realizzazione di white papers
(FSE, ROSI v2, SocialMedia) in collaborazione con la Oracle Community for Security. Per il Rapporto Clusit 2014 sulla sicurezza ICT
in Italia, ha curato la sezione relativa all’analisi dei principali attacchi a livello internazionale
ed ai trend futuri.
118
Ringraziamenti
Clusit e Security Summit ringraziano gli autori e le organizzazioni e le persone che hanno
contribuito alla realizzazione del Rapporto Clusit 2014.
In particolare: A2A, ADS, AIEA, Alba ST, ACE Insurance, Alfa Group, Astrea, Besafe,
Bl4ckswan, BSC Consulting, CioNet Italia, Cisco Systems, CLUSIF, Cleis Security,
CRAG Partners, CSQA Certificazioni, Di.Fo.B Studio Associato, Eclettica, Electrolux,
ENISA, Eris Consulting, Euro Informatica, FASTWEB, Hacktive Security, Hypergrid,
IBM, iDialoghi, Infocert, Insiel, Iside, KPMG, KPMG Advisory, McAfee, Mediaservice,
MELANI, Neonevis, Networking & Security Consulting, NexSoft, Nextvalue, Oracle,
Oracle Community For Security, Project Management Institute - Northern Italy Chapter,
Partner Data, Protiviti, Reality Net, Regione Liguria, Ricca Informatica, SafeNet, Security
Brokers, Selex ES, Sernet, Shorr-Kan, Trend Micro, VEM Sistemi, Websense, WIND
Telecomunicazioni.
E ancora: Pietro Amorusi, Stefano Arduini, Orlando Arena, Iacopo Avegno, Pasquale
Baldassarre, Paolo Beatini, Luca Bechelli, Simona Bechelli, Giampiero Bedogna, Pietro
Benincasa, Bruno Bernardi, Luca Bertoglio, Gianluca Bocci, Luca Boselli, Danilo Bruschi,
Fabio Bucciarelli, Giulio Camagni, Paolo Capozucca, Davide Casale, Aldo Ceccarelli,
Francesco Cedrini, Raoul Chiesa, Mauro Cicognini, Corradino Corradi, Paolo Cozzi,
Antonio Cucinella, Giovanni Daconto, Paolo Dal Checco, Loris Dal Magro, Fabio Degli
Espositi, Giuseppe De Iaco ,Davide Del Vecchio, Massimiliano Destefanis, Gianna Detoni,
Cristiano Di Paolo, Mattia Epifani, Cinzia Ercolano, Dino Esposito, Gabriele Faggioli,
Mariangela Fagnani, Valentina Falcioni, Andrea Ferrarese, Evelyn Ferraro, Ambrogio Ferretti,
Enrico Ferretti, Alessandro Galaverna, Cesare Gallotti, Domenico Garbarino, Alfredo
Gatti, Paolo Giardini, Walter Ginevri, Luca Giovannini, Corrado Giustozzi, Marco Goria,
Luigi Grilli, Fabio Guasconi, Carlo Guastone, Andrea Guglielmi, Giovanni Hoz, Giuseppe
Ingletti, Claudio Jacovelli, Francesco Mazzei, Marco Mella, Riccardo Menichetti, Paola
Meroni, Diego Mezzina, Lorenzo Migliorino, Gabriella Molinelli, Roberto Mondonico,
Claudio Montechiarini, Maurizio Naitana, Stefano Niccolini, Roberto Obialero, Matteo
Olivari, Roberto Pachì, Marco Palazzesi, Giuseppe Palazzini, Enrico Parisini, Paolo Passeri,
Michele Pavan, Carlo Pelliccioni, Alessio Pennasilico, Rosario Piazzese, Marco Poggi,
Daniele Poma, Franco Prosperi, Stefano Ramacciotti, Sandra Reggio, Stefano Ricca, Nicola
Rivezzi, Andrea Rui, Fabio Saulli, Giampaolo Scafuro, Riccardo Scalici, Sofia Scozzari, Paola
Sipione, Domencio Solano, Stefano Tagliabue, Gigi Tagliapietra, Marco Tagliavini, Paola
Tamburini, Carla Targa, Claudio Telmon, Enzo Maria Tieghi, Stefano Tironi, Francesca
Tolimieri, Alessandro Vallega, Marco Venditti, Marco Vernetti, Sylvio Verrecchia, Giacomo
Verzeletti, Gaia Vinciguerra Frezza, Francesco Maria Vizzani, Alessandro Volpato, Davide
Yachaya, Andrea Zapparoli Manzoni, Giovanni Ziccardi, Patrizia Zocco.
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 119
Il Clusit, nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, è la più numerosa ed autorevole associazione italiana nel campo della
sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.
Gli obiettivi
• Diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini.
• Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza
informatica, sia a livello nazionale che europeo.
• Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza.
• Promuovere l’uso di metodologie e tecnologie che consentano di migliorare il livello di
sicurezza delle varie realtà.
Le attività ed i progetti in corso
• Formazione specialistica: i Seminari CLUSIT
• Ricerca e studio: Premio “Innovare la Sicurezza delle Informazioni” per la migliore tesi
universitaria – 10a edizione
• Le Conference specialistiche: Security Summit (Milano, Bari, Roma e Verona)
• Produzione di documenti tecnico-scientifici: i Quaderni CLUSIT.
• I Gruppi di Lavoro: con istituzioni, altre associazioni e community.
• Il progetto “Rischio IT e piccola impresa”, dedicato alle piccole e micro imprese
• Progetto Scuole: la Formazione sul territorio
• Rapporti Clusit: Rapporto annuale su Cybercrime e incidenti informatici in Italia; analisi del mercato italiano dell’ICT Security; analisi sul mercato del lavoro.
Il ruolo istituzionale
In ambito nazionale, Clusit opera in collaborazione con: Presidenza del Consiglio, numerosi ministeri, Banca d’Italia, Polizia Postale e delle Comunicazioni, Arma dei Carabinieri
e Guardia di Finanza, Autorità Garante per la tutela dei dati personali, Autorità per le Garanzie nelle Comunicazioni, Università e Centri di Ricerca, Associazioni Professionali e
Associazioni dei Consumatori, Confindustria, Confcommercio e CNA.
I rapporti internazionali
In ambito internazionale, Clusit partecipa a svariate iniziative in collaborazione con: i
CERT, i CLUSI, Università e Centri di Ricerca in oltre 20 paesi, Commissione Europea,
ENISA (European Network and Information Security Agency), ITU (International Telecommunication Union), OCSE, UNICRI (Agenzia delle Nazioni Unite che si occupa di
criminalità e giustizia penale) e le Associazioni Professionali del settore (ASIS, CSA, ISACA, ISC², ISSA, SANS).
©
Clusit - Rapporto 2014 sulla Sicurezza ICT in Italia 121
Rapporto 2014 sulla Sicurezza ICT in Italia
Security Summit è il più importante appuntamento italiano per
tutti coloro che sono interessati alla sicurezza dei sistemi informatici e della rete e, più in generale, alla sicurezza delle informazioni.
Progettato e costruito per rispondere alle esigenze dei professionals di oggi, Security Summit è un convegno strutturato in
momenti di divulgazione, di approfondimento, di formazione e
di confronto.
Aperto alle esperienze internazionali e agli stimoli che provengono sia dal mondo imprenditoriale che da quello universitario e della ricerca, il Summit si rivolge ai professionisti della
sicurezza e a chi in azienda gestisce i problemi organizzativi o legali e contrattuali dell’Ict
Security.
La partecipazione è libera e gratuita, con il solo obbligo dell’iscrizione online.
Il Security Summit è organizzato dal Clusit e da Astrea, agenzia di comunicazione ed organizzatore di eventi di alto profilo contenutistico nel mondo finanziario e dell’Ict.
I docenti e relatori.
Nelle precedenti edizioni del Security Summit sono intervenuti oltre 350 docenti e relatori,
rappresentanti delle istituzioni, docenti universitari, uomini d’azienda e professionisti del
settore.
I partecipanti
Nel corso delle prime 5 edizioni, il Security Summit è stato frequentato da oltre 8.000
persone e sono stati rilasciati circa 5.000 attestati validi per l’attribuzione di 8.500 crediti
formativi (CPE) e 900 diplomi.
L’edizione 2014
La quinta edizione del Security Summit si tiene a Milano dal 18 al 20 marzo, a Bari il 29
aprile, a Roma il 18 e 19 giugno e a Verona il 2 ottobre.
Informazioni
•
•
•
•
•
Agenda e contenuti: [email protected], +39 349 7768 882.
Altre informazioni: [email protected]
Video riprese e interviste: http://www.youtube.com/user/SecuritySummit
Foto reportage: http://www.facebook.com/group.php?gid=64807913680&v=photos
Sito web: http://www.securitysummit.it/
122
In collaborazione con
www.securitysummit.it

Siamo quello che ti serve

REALITY NET - System Solutions

Ricca - Divisione I.T. - Ricca srl Divisione IT

Newsletter Clusit

N. 10 di SERIT - Distretto Tecnologico Cyber Security

19.03.2014_tr frodi

scarica l`invito ( .pdf,294kb) - Città metropolitana di Milano

Tecniche agili per la modellazione di processi e

Biraghi Andrea -SELEX-ES

CH/H-italiano

Cyber Security Lo scenario di rischio